Gültigkeit eines hashtokens

B

ByteSurfer

0
Guten Morgen,
und eine besinnliche Vor-Weinachtszeit,

auch wenn ich diesbezüglich schon die eine, oder andere Frage gestellt habe.

Meine Frage:
Ist es verwerflich, wenn ich pro Session Sitzung einen Hash Token für einen CSRF Shutz als sicher genug definiere (halte)?

Ich generiere je Form einen unabhängigen eigenen Token, sprich Im Browser ist das Register Formular und Login Formular zeitgleich verwendbar. Dieses soll aber nur das Ganze ein wenig erschweren ! Achja, zzgl. haben die Tokens je eine Gültigkeit von 5 Minuten.

Was verspreche ich mir hierdurch ?
Mein Ziel ist es Multi-Tabbing zuzulassen ...
 
Zuletzt bearbeitet:
Hallo,
die meisten Webseiten haben keinen Schutz vor CSRF, deswegen ist jeder Schutz schonmal ein Plus.

Ansonsten hängt die Antwort von deiner Art der Webseite ab bzw. welcher Schaden entstehen kann durch das Absenden von Formularen. Wenn du über das Absenden eines Formulars eine Atomraktete starten könntest, dann währe das wohl nicht ausreichend ;)

Aber i.d.R. sollte das absolut ausreichen. Bei den ganz sensiblen Formularen sollte man sich weitere Schutzmechanismen überlegen. Beim Online-Überweisen schützt z.B. das TAN-Verfahren vor CSRF.


Und die Gültigkeit auf 5 Minuten zu begrenzen finde ich nicht unbedingt nötig. Wie gesagt, ein einzelner Hashtoken macht das Leben schon ziehmlich schwierig für einen Angreifer um dich per CSRF anzugreifen.
 
Ich danke Dir für Deine Antwort!

Eine A-Rakete wohl eher nicht. Ich habe nur einen Memberbereich wo eventuell "sensible" Daten der jeweiligen Nutzer sichtbar wären.

Aber dann liege ich mit meiner These und Vermutung Gold richtig.

Okili dokili, die zeitliche Begrenzung werden ich dann raus nehmen.

Ich danke Dir noch einmal ...
 
Hallo,
bei CSRF muss man sich angucken, welcher Schaden verursacht werden kann wenn jemand unerlaubt eine URL aufruft oder ein Formular absendet. Kann darüber z.B. Daten gelöscht werden o.ä.?

Besonders sensible Bereiche / Aktionen kann man dann optimalerweise nochmal zusätzlich absichern. Beispielsweise wenn man das Passwort oder die Email Adresse ändern möchte, dass man erst das alte Passwort nochmal eingeben muss.

Denn der viel wahrscheinlichere Anwendungsfall ist, dass jemand vergisst sich auszuloggen. Siehe diverse Spaß-Postings auf Facebook-Walls.

Um da die automatisierte Ausnutzung zu erschweren (z.B. jemand postet Forenbeiträge in meinem Namen), reicht ein einfacher Hashtoken der an die Session gebunden ist völlig aus.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben