Насколько надежная защита токенами в GET?

Question

[Александр Шаповал]

Доброго времени суток. Насколько надежная защита токенами в GET параметре? К примеру, имеем страницу выхода /exit.php или /post/delete/98/ на стороннем сайте зная url этих страниц, можно разместить элементарно гиперссылку, не посмотрев на то куда она ведет и перейдя по которой пользователь выйдет из своего профиля, или что то удалит, или...много чего можно сделать. А можно разместить тег img на эти url, тогда и переходить никуда не нужно.
Исходя из этого, насколько эффективной будет защита вида передачи токена в url
/exit.php?token=sd76g5sd75g7sdg57ds5gvsd7v5
У каждого пользователя он соответственно индивидуальный, и периодически автоматически меняется.
Достаточно ли этого для защиты от подобного вида атак или может это вообще бесполезно?)
Имеет ли смысл в особо важных действиях использовать капчу?

Comments

[Илья Белобородов]

знакомый ник. ты не тусовался раньше на dcms.su?

[Александр Шаповал]

Илья Белобородов: тусовался) со времен версии 6.6.4 и до самого закрытия проекта

Answer 1

[RALMAZ]

Я предлагаю выводить вполне осязаемый попап по любому важному решению
Посмотрите как сделано у гитхаба

Хочешь добавить контрибьютора - введи ка пароль
Хочешь удалить репу - введи имя репы и пароль

Comments

[SolidMinus]

Ты не понял проблему чела. Он имеет ввиду, что допустим есть на сайте скрипт delete.php, который удаляет аккаунт юзера. И кто-то отправит ссылку юзеру виде http://егосайт.ком/delete.php и у юзера все к херам слетит. Проверка по айпи и кукам не пройдет, он и придумал метод с токеном.

[RALMAZ]

Подтверждение - обычный попап в котором спрашиваем - "действительно?"

[Александр Шаповал]

White Cat:

Подтверждение - обычный попап в котором спрашиваем - "действительно?"

вы подразумеваете при подтверждении отправлять POST запрос? это решит проблему на 50%, все еще останется лазейка так как подделать на стороннем сайте можно и форму через которую отправится нужный post запрос
P.S на такой случай у меня и там токен запрашивает, только на этот раз он передается скрытым полем в форме

[RALMAZ]

Александр Шаповал: Я предлагаю выводить вполне осязаемый попап по любому важному решению
Посмотрите как сделано у гитхаба

Хочешь добавить контрибьютора - введи ка пароль
Хочешь удалить репу - введи имя репы и пароль

[Александр Шаповал]

White Cat: спасибо за идею, на особо важные действия можно будет делать такое подтверждение.

[Александр Шаповал]

White Cat: добавьте это в ответ на вопрос, отмечу решением.

Answer 2

[Илья Белобородов]

Можно сделать как в yii2.
Отправлять запрос методом POST, и с этим постом отправлять хэш, который сохраняется в сессию пользователю (при каждом обновлении страницы - новый хэш), и если хеш из поста не совпадает с хэшем из сессии - шлем курить бамбук

Comments

[Илья Белобородов]

manwe_ru: ну как бэ дофига сайтов на yii2 и никто таких проблем не испытывает

[Александр Шаповал]

Илья Белобородов: ну у меня логика почти такая же, храню только не в сессии а в БД, и данные обновляю не при каждом обновлении страницы а через определенный промежуток времени. В принципе в сессию перенести будет как то по практичней, спасибо. А при отправке POST я тоже его подставляю когда нужно.
Я чего этот вопрос написал сюда вообще, в википедии написано что токены в url передавать нельзя, не мог понять почему нельзя, вроде как нельзя потому что пользователь может скопировать и передать токен вместе с токеном, но если токен временный или одноразовый то ничего страшного в этом нету должно быть.

[Илья Белобородов]

Александр Шаповал: кстати, в yii, токен в сессию записывается не на всех страницах, а только на страницах с формой

Answer 3

[SolidMinus]

Хз, думаю не имеет смысла. Этот токен же генерит кто-то, когда вносишь изменения или выходишь. А что мешает передать ссылку на непосредственно ту страницу откуда происходит генерация и переход? Или создать хтмл страницу, которая сделает пост запрос к этой странице? Юзер то залогинен уже, страница сайта генерит код, перенаправляет на важный скрипт с токеном и все, хана. Тот же clickjacking если будет.

Как защититься - хрен знает, я не веб разраб, я вообще этот метод обхода придумал только что, так что думаю защита такая хреновая :D

P.S. А если использовать белые списки referer'а? То есть с какой страницы разрешен переход, а с какой нет? Могу предположить, что такой метод юзается, т.к когда я юзал плагин который нулил все рефереры мои - у меня некоторые сайты сбоили конкретно. Подделать до сих пор можно через левый сайт, реферер можно вроде как изменить. Поэтому, как по мне, можно этот токен запердолить внутрь реферера, а об изменении перед переадресацией спрашивать об этом юзера.

Хз,)))))

Comments

[Александр Шаповал]

А что мешает передать ссылку на непосредственно ту страницу откуда происходит генерация и переход?

генерация происходит в любом месте, где бы не находился пользователь, по истечению времени у него появится новый токен, естественно при условии что он шарится по сайту

Или создать хтмл страницу, которая сделает пост запрос к этой странице?

что бы не отправляла эта страница, при обращении нужно передать через GET токен, который известен только пользователю, то есть, что бы узнать токен нужно под этим пользователем авторизоваться
---------------
мою защиту все еще можно считать не взломанной)

Answer 4

[Кирилл Несмеянов]

Вы пытаетесь изобрести csrf\xsrf, или я чего-то не понял?

Comments

[Александр Шаповал]

не изобрести, а использовать

[Кирилл Несмеянов]

Александр Шаповал: в таком случае что вам запрещает? В дополнение скажу, что всякие роуты логаута, логина, отправки сообщений и прочие штуки делаются через POST, дабы не только отвадить лихих парней, но и всякие поисковики тоже.

Answer 5

[Илья]

Вообще по уму все действия (Command) должны выполняться по POST, а все отображение (Query) по GET.
Тогда проблема у вас собственно и пропадет.