Che cosa può fare un utente per proteggersi dagli attacchi CSRF?

4

Se sto navigando mentre sono connesso al mio pannello di hosting o router o qualsiasi altra applicazione, c'è una possibilità di essere violato da un CSRF exploit.

Quindi, la domanda qui riguarda l'utente o il lato client, non la protezione lato server contro gli attacchi CSRF .

Che cosa può fare un utente per essere più sicuro? Forse usare due browser, uno per account importanti, un altro per la navigazione?

    
posta Mirsad 17.04.2016 - 19:15
fonte

2 risposte

4

Maybe use two browsers, one for those account, and another one for browsing?

Questa è probabilmente l'idea migliore in quanto offre il massimo della separazione. In questo modo i cookie di sessione classici non saranno condivisi tra i siti, anche se una condivisione di Silverlight e magari di ID di sessione basati su Java o Flash potrebbero ancora accadere. Nella maggior parte dei casi probabilmente sarà già sufficiente avviare un'istanza di Firefox / Chrome in modalità privata / in incognito.

Tuttavia, l'utilizzo di un altro browser o profilo browser per ciascun sito sensibile non è pratico in tutti i casi e probabilmente lo si farà solo per alcuni siti più sensibili come l'online banking o l'amministrazione del router. A parte questo, le richieste cross site valide sono in uso, ad esempio, in configurazioni di single sign on (ad esempio, l'accesso con Facebook, ecc.) O per l'utilizzo di fornitori di servizi di terze parti come Paypal. Per questi casi ci sono diverse estensioni del browser che aiutano a gestire CSRF e troverai alcuni esempi su Wikipedia - CSRF - Salvaguardia del lato client .

    
risposta data 17.04.2016 - 19:38
fonte
1

Un metodo consiste nell'utilizzare una finestra di navigazione privata o una sessione di navigazione in incognito Chrome in quanto queste nuove istanze del browser non condividono i cookie con il resto del browser, pertanto è offerta una protezione contro CSRF.

Tieni presente che queste sessioni condividono i cookie tra loro, quindi è consigliabile chiudere tutte le finestre private / in incognito e riavviare quando sei pronto per accedere a un nuovo sito.

    
risposta data 18.04.2016 - 11:08
fonte

Leggi altre domande sui tag