problema con retroceso en validar ticket

Hola, os comento mi problema, tengo un sistema de logeo donde valido cada enlace que se pulsa para evitar ataques csrf, la forma que tengo de hacerlo es crear un ticket aleatoriamente guardandolo en una sesion asin cada vez que pulsan un enlace genero un ticket, hasta aqui todo funciona perfecto pero el problema que tengo que si por ejemplo retrocedo o avanzo sin los enlaces el ticket no coinciden con el ticket de sesion debido a que al retroceder o avanzar genero otra sesion en cambio al no avanzar clickeando el enlace no actualizo el ticket que le paso por get en este caso.

No pongo codigo ya que no es un problema de codigo si no de logica, espero que se entienda mi problema y me puedan dar alguna sugerencia.

Yo pense en crear un unico ticket que valga para toda la sesion asin no tengo este problema pero quiero poder validar cada vez que se pulsa un boton.

Alguna sugerencia y ayuda?

Saludos

No entiendo, ¿por qué generar un ticket? ¿acaso no conoces las variables de sesión? ¿te suena de algo el Hash SESSID de PHP?

Hola pr0, si que conozco las variables de sesion es mas arriba postee que creo una variable de sesion a la vez que creo un ticket para poder validar el ticket con la sesion, el ticket osea la sesion la creo con md5 y un numero unico aleatorio, todo esto me funciona bien el problema lo tengo en los retrocesos o avances que no sean pulsando en enlaces.

Saludos.

Es que sigo sin comprender para que generas un ticket en cada página y todavía menos para que creas una sesión nueva en cada página. No tiene sentido alguno.

Cuando un usuario se logea, creas una variable de sesión por ejemplo $_SESSION['identificado'] = "SI"

Luego en cada página compruebas si la variable identificado es SI y lo dejas seguir sino pues lo tiras fueras.

pr0 una pregunta sabes que significa esto?csrf creo que todavia no entendiste mi problema, el sistema de logeo funciona perfectamente e incluso su navegacion solo que de la forma que lo extructure los retrocesos me dan errores.

Saludos

CSRF es útil solamente con formularios por eso mismo, no esta diseñado para que lo hagas en cada link porque pasa eso.

Saludos.

Hola GatorV, gracias por tu colaboracion, referente al tema espero que me quites alguna dudas que tengo.

Te refieres que una vez entra el usuario y esta logueado no se puede validar los enlaces mientras navega por la web para evitar los csrf?

Si te refieres a esto la sesion abierta estaria en peligro debido a que el usuario navegaria y solo habria un ticket de validacion para toda la sesion.

Quizas no es la manera correcta de hacer este tipo de sistemas de logueo, me podrias decir la manera correcta de evitar estos ataques?

en este foro sin ir mas lejos puedes retroceder para alante y para atras.

saludos

Ya entiendo a que te refieres mire un poco este foro y vi que los enlaces no se validan, solo tengo que validar el inicio y final de sesion por ejemplo no los enlaces.

Te refieres a eso GatorV, de esa forma evito el csrf?

Saludos

Buenas!!

pues... no se en donde o para que quieras el logueo pero... como ya te dijo GATOR, al iniciar la sesion y validar al usuario se supone que ya es confiable y lo unico que tienes que asegurarte es que este usuaria que esta perfectamente VALIDADO, sea el unico que tenga actividad
ahora eso no lo va a lograr haciendo "tikets" y lo unico que estas haciendo es crear un trafico inecesario en el servidor.
ahi a mi logica seria que una vez que corras todos tus sistemas de identificacion y validacion del usuario, "asegures su navegacion"
¿como?
pues... se me ocurre
que validez que siempre los links sean del mismo servidor, osea que no acepte enlaces externos
que tenga un tiempo limite
que cada determinado tiempo valide o en cada pagina valide la session( esto por ejemplo: tomas tu ip, el nombre de usuario, y demas datos que se te ocurran los encriptas y comparas, si el enlace es externo obvio que NO tendra la misma ip y por obvio lo sacara del "sistema autorizado"
o cosas asi...

Saludos!!

Lo que pasa es que CSRF no es algo que puedas prevenir tanto al validar la sesión, la forma efectiva es escapando lo que imprimes en tu pagina, asegurandote siempre que no estes imprimiendo Javascript que pueda ser precisamente ejecutado y redirigido a otro lugar.

En los formularios se usa también para evitar que hagan un POST desde otro sitio que no sea el tuyo, aunque no lo mitiga al 100% es efectivo, en esos casos.

Hola gracias a los dos por ayudarme con este tema, ahora ya lo tengo mas claro para poder evitar o almenos ponerlo mas dificil para estos ataques.

Saludos.