Нужно ли сверять токен в БД?

Ровно настолько насколько можно продраться через твой бред. Складывается впечатление, что ты не очень в теме вообще.

(Отредактировано автором: 25 Ноября, 2015 - 20:29:11)

-----
self-banned

Все с тобой понятно.

-----
Шта? Репозиторий?

Ну конечно должен %) При успешном входе, а далее уже по описанной схеме

Ладно пофиг... ) непонятки
Ну да ладно. Вроде всё обсудили, мне не очень хочется продолжать

(Отредактировано автором: 25 Ноября, 2015 - 20:50:12)

Топикстартеру ответ.
Сессии хранить в базе не нужно. Сессии - это временная информация, по сути время ее жизни - время посещения сайта.
Сравнение токена с записанным в сессии - вполне достаточно, база тут ничего не добавит.
А на самом деле можно обойтись и без сессии вообще через передачу хеша от заранее известных и постоянных аргументов.

-----
self-banned

Не вижу особой разницы.
Но если с нашей формы не пришёл csrf-токен - то это ошибка браузера.


Зачем? Одного токена на сессию вполне достаточно.
Не сильно сложнее писать отдельные токены на отдельные действия.
Вот отдельные токены на каждый запрос - мороки много и полезность как-то не особенно заметна.
Если есть желание (и понимание, что отвалятся формы в других вкладках), то можно при получении ошибки csrf токена генерировать новый токен.

laravel, yii2 точно хранят один токен на сессию.

Мнение, что дискуссию пора сворачивать - поддерживаю. Стороны друг друга явно не понимают.

-----
PostgreSQL DBA

Ну вот и покажи (себе покажи), сколько сайтов используют именно такую схему токена.
У тебя там браузер модный наверное (который для красоты скрывает гет-параметры в адресной строке)?
У меня не скрывает.
Я ни на одном сайте не видел перманентных токенов в гете.
Так что вот возьми, и запили токен-либу на своем принципе, и посмотри как её воспримут хомячки и разработчики.
А я сказал что сессид ты не утащишь. Поэтому остальное можешь и не наваливать.
Да мне особо тоже. Обсудили действительно все. Но если кто-то что-то вспомнит или захочет добавить за или против -- велком.
Пфффф ))
Ладно, мои сообщения пропускай, но иди почитай хотябы что другие писали.
(Добавление)
Я имел ввиду загенерить его в гет параметр или в хидден инпут формы. Иначе пользак так и будет видеть "ПНХ".

-----
Шта? Репозиторий?

Читал. Кроме сообщений Мелкий - ничего вменяемого там нет. Есть только твои личные допущения, что мол "referer проверять проще, чем токен". Да ничем не проще, ровно так же. А остальное вообще бред, в котором смешали все атаки, которые знали.

-----
self-banned

Да, тема растеклась как понос по полу вокзального туалета.
Но без этого никак -- люди хотели ловить реферер на слабые места.
Так что вполне ожидаемо.
Я уже подумал может табличку накидать в ёкселе с галочками...

-----
Шта? Репозиторий?

Применимость проверки реферера лучше, чем ничего, например, когда код софта менять нельзя. Набросал на nginx проверки - и все. Но часть людей с блокировкой реферера идут лесом. Или же пропускаем пустой реферер и оставляем дырку.

А в своем софте с нормальной архитектурой использовать токен не сложно. Да даже с кривой архитектурой - можно присрать как впихивание токена в форму через парсинг буфера вывода, так и проверку, например, всех пост запросов на этот токен в одном месте.

-----
self-banned

ааа)) речь не о том насколько это популярно а о том насколько это эффективно
Про то, что можно противопоставить конкретной атаке?

Человек за спиной?) Да, возможно И после этого меня иногда называют параноиком? )

Да. Но есть на примете немного другая схема, подразумеваемый ход событий хоть и имеет место быть, но маловероятно. Поэтому не буду раздувать)

Причем тут нжинкс? Я говорю о проверках в приложении.
Да, берешь либу васи пупкина... или обмазываешься композером, фреймворками, подрубаешь либу пети корочкина с тремя высшими академическими образованиями... или мастеришь свой велосипед.

http://i[dot]imgur[dot]com/7IQbWD9[dot]png
Так сделай. Аргументируй. Выложи на гитхаб.
Я вот понял. Будет работать.
Но есть касяки и неудобства о которых я говорил.
Однако в любом случае делай.
Эээээ, погоди, не надо красть у меня медаль параноика!!!

-----
Шта? Репозиторий?

Ну, я там тоже писал, в основном про гет токен... выходит по вашему мнению - это бред.
Тогда к вам такой вопрос,
Вы залогинены на каком нибудь сайте, там есть страничка, на страничке есть форма, которую видит только залогиненный.
Эта страничка подгружена через айфрейм на другом сайте. Айфрейм переодет, замазан стилями top документа так, что вы не узнаете эту страницу и заполняете форму и начисляете кому то деньги. Браузер старый, не понимает x frame options.
Как, по вашему мнению, можно предотвратить сохранение такой формы?

Хотелось бы получить профессиональный совет, который был бы лучше того, что я предложил.
(Добавление)

У меня на руках 3 проекта)) Как время появится, подумаю что можно сделать что бы улучшить этот вариант. Мыслей много, я не все выложил)) Либо воспользуюсь вариантом MiksIr, который возможно он предложит

Именно так, да. Ну, кроме своего велосипеда. Это только всяким гениям, которые "свой форум пишут" нужно.
(Добавление)

Токен в форме.

Ну как сказать. Если у вас гет изменяющий состояние - это уже большая архитектурная проблема. Но если так получилось - то токен, да. Не такое большое откровение.

-----
self-banned

Так у тебя энтерпрайзозависимость. Лечись.
Если ты лабух -- это не значит что остальные тоже лабухи.
Других задевать можно, и меня в том числе, только аргументированно.

-----
Шта? Репозиторий?

А токен ведь находится в таком же инпуте как и остальные, он тоже осядет в айфрейм, будет отправлен на сервер, и пройдет проверку. Нет?

Нет же) Никаких сохраняющих операций по гету нет. Речь совсем не об этом