חיפוש

עזרה

הרשמה

התחברות

עדכונים

אבטחת מידע
UnderWarrior Forums : אבטחת מידע

נושא: המאמר שלי על XSRF

כותב

הודעה

<< נושא קודם | נושא הבא >>

Master Blaster
משתמש מתחיל

הצטרף / הצטרפה: 07 August 2006
משתמש: מנותק/ת
הודעות: 27

נשלח בתאריך: 29 August 2007 בשעה 11:34

| IP רשוּם

http://rapidshare.com/files/51990314/XSRF.pdf.html

תהנו.

חזרה לתחילת העמוד

אלצ'קו
אחראי פורומים

ג2ר פ33תי

הצטרף / הצטרפה: 20 January 2006
משתמש: מנותק/ת
הודעות: 609

נשלח בתאריך: 29 August 2007 בשעה 22:02

| IP רשוּם

פיתרון 4 שלך הוא מקרה פרטי של קטגוריה שלמה של פרוטוקולים אמינים יותר. שימוש ב-token סטטי הוא רק אפשרות אחת. אפשרות אחרת היא כזו שבה משתמשים בפרוטוקול TCP (אני אתאר כאן משהו קצת אחר, אבל מספיק דומה):
ניתן לתאר לעצמו לקוח ושרת שמתקשרים ביניהם בפרוטוקול מסויים. אנחנו מפחדים ממצב שבו הלקוחה אליס ניגשת לשרת בוב ושואלת אותו האם הוא אוהב אותה. איב המרושעת עשויה לחכות לרגע הזה ולענות במקום בוב. לא נעים בכלל. מה שאליס יכולה לעשות הוא לשלוח יחד עם הבקשה שלך מספר אקראי, ובוב יענה לה כשהוא שולח יחד עם התשובה את המספר האקראי שקיבל ממנה בתוספת גודל התשובה שלו. אליס יכולה לוודא שאכן בוב שלח את התשובה כי היא יודעת מה המספר האקראי שהיא שלחה לו בהתחלה.
כמובן שאם מישהו רואה את כל התקשורת ביניהם זה לא מספיק טוב (ואז צריך להצפין את המספרים), ויש כמובן את תקיפות ה-TCP sequence number prediction שמנסות לגלות מה יהיה המספר הראשוני בלי להסניף את כל התקשורת.
העניין הוא שלאו דווקא עונים עם ה-"token" המקורי, אלא עשויים לבצע עליו פעולה כלשהי. שילוב פרוטוקול קריפטוגרפי כלשהו בכל העסק יעזור רבות.

חזרה לתחילת העמוד

אם ברצונך להגיב לנושא זה עליך קודם להתחבר
אם אינך רשום/ה כבר עליך להרשם

גרסת הדפסה

אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה