Perché Google non blocca la disconnessione CSRF?

1

Google è un esempio famoso di non che blocca CSRF su logout / logoff pages.

Some vulnerability reporters contact us about the ability to log out Google users by navigating their browser to a particular URL. In some ways, this behavior is undesirable, but we believe that it cannot be reliably addressed on the modern web: for example, malicious websites may also simply overflow the browser cookie jar and drop your authentication cookies for other websites on the Internet.

La risposta più popolare al giorno L'azione di login e disconnessione deve avere la protezione CSRF? non è d'accordo, citando i problemi di phishing. La seconda risposta più popolare dice che non è necessario, ma l'attacco potrebbe causare inconvenienti. La terza risposta dice che la protezione è un must.

Perché Google prende una posizione contraria qui? Perché Google mantiene questa posizione e / o, perché così poche persone sembrano essere d'accordo?

Nota: Numerosi luoghi online fanno riferimento al fatto che Google abbia discusso di questo "annuncio alla nausea", ma non ho trovato le discussioni effettive.

Modifica : non è solo Google, ma molti siti importanti lo fanno.

Modifica 2 : questa domanda non è un duplicato di L'azione di login e disconnessione deve avere la protezione CSRF? perché non sto chiedendo se una pagina debba avere la protezione CSRF di disconnessione o meno. Sto chiedendo

  1. Che ragionamento di Google per la loro posizione è (hanno fornito solo una parte del loro ragionamento nell'estratto citato) e
  2. Perché c'è un'apparente divisione tra Google e le risposte a questa domanda.

Questa domanda cerca principalmente di decomprimere il ragionamento per la decisione sulla sicurezza di Google, un caso di studio dettagliato piuttosto che un trattamento ampio.

    
posta jtpereyda 13.10.2016 - 01:18
fonte

1 risposta

1

Logoff CSRF non ha alcun impatto reale. CSRF è anche chiamato un attacco "session riding", in cui un avversario vuole usare la sessione autenticata per avere alcuni utili effetti collaterali. La fine della sessione è controproducente per un vero compromesso, come cambiare l'e-mail o la password nell'account di un target.

La maggior parte delle funzionalità sono vulnerabili a CSRF per impostazione predefinita e lo sviluppatore deve fare di tutto per risolvere il problema. Anche la ricerca di Google è influenzata da CSRF e non ha alcun impatto, poiché questa richiesta non ha un effetto collaterale interessante. Una richiesta di ricerca su google mostra solo dati interessanti che l'autore dell'attacco non può vedere.

    
risposta data 13.10.2016 - 01:38
fonte

Leggi altre domande sui tag