Mi stavo chiedendo: ora sembra essere sempre più comune vedere le persone / framework inserire i token crittografici negli URL che le loro webapps stanno generando (per prevenire in modo abbastanza efficace contro alcuni attacchi). È consigliato da OWASP ecc.
Tuttavia mi stavo chiedendo: qual è stato il primo utilizzo conosciuto di questa tecnica (in particolare all'interno degli URL Web)?
Ho trovato un messaggio su Usenet che risale al 2003 (per una webapp Java) che descrive la tecnica da qualcuno che, ovviamente, lo ha scoperto indipendentemente (sta chiedendo di conoscere "l'arte nota"):
Every single link in any of the jsp page transmitted to the client is
generated with a checksum that act as a signature for the URL
La descrizione mostra chiaramente che si tratta di un checksum crittografico utilizzato (e il modo in cui funziona sembra molto vicino ai "token" moderni, sostenitori di OWASP ecc.).
È interessante notare che la persona che lo descrive afferma che "non può far male" ma che potrebbe non essere così utile dal momento che Java è relativamente immune all'overflow del buffer. L'autore non avrebbe potuto immaginare che questa tecnica avrebbe fermato la maggior parte degli exploit di XSS e CSRF morti prima che queste tecniche venissero inventate ...
Quindi la mia domanda è semplice: quali sono gli usi più antichi di questa tecnica che conosci?
EDIT Dopo aver riletto la vecchia descrizione, penso che in quel messaggio del 2003 la tecnica sia ancora più avanzata dei "token per sessione" che OWASP sostiene in quanto ogni singolo parametro viene controllato contro la contraffazione (ma non ne sono sicuro)