Dienstag, 22. April 2008
CSRF Protection (Updated)
Nachdem fukami beim letzten Bonner WebMontag erläutert hatte was CSRF ist und was man alles damit anrichten kann, war mir zunächst nicht ganz klar, wie so etwas in der Praxis ausgenutzt wird und welche Schutzmaßnahmen man dagegen implementieren kann.
Netterweise demonstrierte mir mein Kollege Lary Strojny anhand meines Projekts todoyo.de wie so etwas genau aussieht. Er schickte mir einen unscheinbaren Link, den ich natürlich sofort öffnete und gelangte auf eine einfache Seite mit 3 Images, welche allerdings nicht richtig geladen wurden. Die Bilderpfade lauteten in etwa "http://todoyo.de/task/delete/id/1234". Wäre ich nun bei todoyo eingeloggt gewesen, wären ohne, dass ich etwas gemerkt hätte, einige meiner Aufgaben gelöscht worden. Die IDs der Aufgaben besorgte er sich aus der öffentlichen todoyo-Entwicklerliste. Glücklicherweise war ich nicht eingeloggt
Dadurch wurde mir schlagartig klar, wie CSRF Angriffe funktionieren und welchen Schaden man damit alles anrichten kann, wenn die Seite nicht entsprechend geschützt ist.
Wie sehen nun die Gegenmaßnahmen aus, um so etwas zu verhindern? Folgende Schritte habe ich unternommen:
"CSRF Protection (Updated)" vollständig lesen
Netterweise demonstrierte mir mein Kollege Lary Strojny anhand meines Projekts todoyo.de wie so etwas genau aussieht. Er schickte mir einen unscheinbaren Link, den ich natürlich sofort öffnete und gelangte auf eine einfache Seite mit 3 Images, welche allerdings nicht richtig geladen wurden. Die Bilderpfade lauteten in etwa "http://todoyo.de/task/delete/id/1234". Wäre ich nun bei todoyo eingeloggt gewesen, wären ohne, dass ich etwas gemerkt hätte, einige meiner Aufgaben gelöscht worden. Die IDs der Aufgaben besorgte er sich aus der öffentlichen todoyo-Entwicklerliste. Glücklicherweise war ich nicht eingeloggt
Dadurch wurde mir schlagartig klar, wie CSRF Angriffe funktionieren und welchen Schaden man damit alles anrichten kann, wenn die Seite nicht entsprechend geschützt ist.
Wie sehen nun die Gegenmaßnahmen aus, um so etwas zu verhindern? Folgende Schritte habe ich unternommen:
Donnerstag, 28. Dezember 2006
Deutsches ZendFramework Forum
Seit kurzem gibt es unter zfforum.de endlich ein deutschsprachiges Forum, welches das ZendFramework zum Thema hat.
Bis dato spielte sich die Kommunikation lediglich über die ZF-Mailinglisten ab, wobei dort jedoch ausschließlich auf Englisch geschrieben wird und der Zugang für ZF-Einsteiger und Mailinglisten-Unerfahrene doch etwas umständlich ist.
Aber das ist ja jetzt vorbei
Nachdem bis letzte Woche noch am Aufbau der Kategorien und Foren gefeilt wurde, ist die Seite nun seit einer Woche offiziell online und es wurden bereits viele interessante Themen behandelt, seien es Einsteigerproblemchen oder spezielle Fragestellungen zu den einzelnen Komponenten. Qualifizierte Schreiber sind auf jeden Fall genug an Bord, so dass eigentlich keine Frage unbeantwortet bleiben dürfte.
Wer sich also mit dem ZendFramework beschäftigt und sich mit anderen Entwicklern austauschen möchte, der ist dort bestens aufgehoben
Bis dato spielte sich die Kommunikation lediglich über die ZF-Mailinglisten ab, wobei dort jedoch ausschließlich auf Englisch geschrieben wird und der Zugang für ZF-Einsteiger und Mailinglisten-Unerfahrene doch etwas umständlich ist.
Aber das ist ja jetzt vorbei
Nachdem bis letzte Woche noch am Aufbau der Kategorien und Foren gefeilt wurde, ist die Seite nun seit einer Woche offiziell online und es wurden bereits viele interessante Themen behandelt, seien es Einsteigerproblemchen oder spezielle Fragestellungen zu den einzelnen Komponenten. Qualifizierte Schreiber sind auf jeden Fall genug an Bord, so dass eigentlich keine Frage unbeantwortet bleiben dürfte.
Wer sich also mit dem ZendFramework beschäftigt und sich mit anderen Entwicklern austauschen möchte, der ist dort bestens aufgehoben
Kommentare