Qual è stato il primo utilizzo dei token crittografici negli URL?

4

Mi stavo chiedendo: ora sembra essere sempre più comune vedere le persone / framework inserire i token crittografici negli URL che le loro webapps stanno generando (per prevenire in modo abbastanza efficace contro alcuni attacchi). È consigliato da OWASP ecc.

Tuttavia mi stavo chiedendo: qual è stato il primo utilizzo conosciuto di questa tecnica (in particolare all'interno degli URL Web)?

Ho trovato un messaggio su Usenet che risale al 2003 (per una webapp Java) che descrive la tecnica da qualcuno che, ovviamente, lo ha scoperto indipendentemente (sta chiedendo di conoscere "l'arte nota"):

Every single link in any of the jsp page transmitted to the client is 
generated with a checksum that act as a signature for the URL

La descrizione mostra chiaramente che si tratta di un checksum crittografico utilizzato (e il modo in cui funziona sembra molto vicino ai "token" moderni, sostenitori di OWASP ecc.).

È interessante notare che la persona che lo descrive afferma che "non può far male" ma che potrebbe non essere così utile dal momento che Java è relativamente immune all'overflow del buffer. L'autore non avrebbe potuto immaginare che questa tecnica avrebbe fermato la maggior parte degli exploit di XSS e CSRF morti prima che queste tecniche venissero inventate ...

Quindi la mia domanda è semplice: quali sono gli usi più antichi di questa tecnica che conosci?

EDIT Dopo aver riletto la vecchia descrizione, penso che in quel messaggio del 2003 la tecnica sia ancora più avanzata dei "token per sessione" che OWASP sostiene in quanto ogni singolo parametro viene controllato contro la contraffazione (ma non ne sono sicuro)

    
posta Cedric Martin 08.11.2011 - 18:10
fonte

1 risposta

2

Il linguaggio PHP (come non JAVA) sviluppato per le applicazioni web utilizza gli hash crittografici negli URL per identificare e tenere traccia di un utente dal 1998. È noto come ID di sessione.

Java Enterprise 1.0 è stato rilasciato in dicembre 1999 e utilizza anche gli ID di sessione negli URL.

Ma non sono ancora sicuro di cosa voglia ESATTAMENTE sapere.

    
risposta data 03.01.2012 - 13:13
fonte

Leggi altre domande sui tag