Protección con Token contra CSRF

Karmac · #1 (**permalink**) 18/04/2013, 12:47

Buenas, estoy intentando crear un token para añadir a mis formularios con el fin de evitar los ataques CSRF en su mayor parte. Estoy pensando en utilizar para crear la cadena una palabra secreta y el tiempo, de modo que termine caducando el código. Aún así, los atacantes podrían spoofear el código entre ese lapso de tiempo.

También he pensado en que el Token solo sirva para una fecha determinada, pero de este modo voy a tener que guardar la fecha en una variable de sesión o cookie, y si copian el código y la cookie también podrán spoofearlo.

¿Cuál veis vosotros el modo más seguro de generar la cadena? Muchas gracias.

Saludos.

David · #2 (**permalink**) 18/04/2013, 13:04

No hace falta complicarse tanto, lo importante es que el código sea diferente por cada sesión de usuario. El verdadero peligro en un ataque CSRF es que otras páginas puedan realizar peticiones sin intervención del usuario.

Y es lógico que tiene que tener un tiempo de validez limitado.

Karmac · #3 (**permalink**) 18/04/2013, 13:25

Ese es el principal problema, que quiero hacerlo sin necesidad de autentificación de usuario.

David · #4 (**permalink**) 18/04/2013, 13:28

No me refiero necesariamente a autenticación, sino a una sesión:
http://www.php.net/manual/es/book.session.php

En todo caso, hay que ver qué formulario necesitas proteger, por lo general no tiene sentido si no hay autenticación de por medio.

Karmac · #5 (**permalink**) 18/04/2013, 13:43

Me parece coherente, sí. ¿Y esa sesión de usuario de la que me hablas debería definirla yo o por algún motivo se crea automáticamente? Si la respuesta es sí, ¿que valor debería contener la variable?

David · #6 (**permalink**) 18/04/2013, 13:51

Sí, debes crear una sesión y allí guardar el token; cada sesión con un token diferente que se renueva cada cierto tiempo.

Karmac · #7 (**permalink**) 18/04/2013, 13:56

Umm, bien, seguiré la pista. ¡Gracias!