token csrf

Blashak · #1 (**permalink**) 18/02/2013, 17:31

Buenas,

Para prevenir los ataques csrf en los formularios inserto token con un tiempo de tres minutos. Queria insertar el token en el nuevo sistema de comentario que programe, pero, después me puse a pensar que si pasan los tres minutos tendrán que refrescar la web y esto puede volverse un poco pesado. Alguien sabe otra forma que pueda hacerlo.

Codigo token:

Código PHP:

Ver originalsession_start();
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
$_SESSION['token_time'] = time();
 
esto va en el formulario
<input type="hidden" name="token" value="<?php echo $token; ?>" />
 
 
//pagina que valida
 
if (isset($_SESSION['token']) &&
$_POST['token'] == $_SESSION['token'])
{
//token es valido
}

un saludo

pateketrueke · #2 (**permalink**) 18/02/2013, 17:33

Aumenta el tiempo entonces, si buscas seguridad no puedes andar haciendo favores a los usuarios, las reglas del juego son simples.

Además, ¿dónde está la comparación de tiempo que argumentas?

Yo no veo que hagas eso de "que dure 3 minutos" por ningún lado.

Mientras no ejecutes dicha lógica no vas a tener el problema que imaginas tener.

dashtrash · #3 (**permalink**) 18/02/2013, 17:51

Actualizala por Ajax.

Blashak · #4 (**permalink**) 19/02/2013, 05:34

Cita:

Iniciado por pateketrueke

Aumenta el tiempo entonces, si buscas seguridad no puedes andar haciendo favores a los usuarios, las reglas del juego son simples.

pero como hace facebook en la parte donde permite dejar mensajes, ya que yo muchas veces deje la web abierta mucho tiempo y sin actualizar pude enviar un mensaje.

Cita:

Iniciado por pateketrueke

Además, ¿dónde está la comparación de tiempo que argumentas?

Yo no veo que hagas eso de "que dure 3 minutos" por ningún lado.

me olvide de copiar una parte

Código PHP:

Ver original$time = 180; // 3 minutos
 
$token_age = time() - $_SESSION['token_time'];
f($token_age >= $time){
  return false;
}

pateketrueke · #5 (**permalink**) 19/02/2013, 10:03

Pues lo de actualizar periódicamente el token usando Ajax es buena idea, yo también lo haría así.

Blashak · #6 (**permalink**) 19/02/2013, 14:27

Cita:

Iniciado por pateketrueke

Pues lo de actualizar periódicamente el token usando Ajax es buena idea, yo también lo haría así.

podrías poner un ejemplo de como hacerlo.

Un saludo

pateketrueke · #7 (**permalink**) 19/02/2013, 14:31

Hmmm, si no se te ocurre cómo entonces si estás grave.

Imagino que guardas el token en algún elemento del markup, so, con setInterval() puedes ejecutar una función en el intervalo de tiempo que definas.

Ahora, con jQuery (espero) haces una llamada común y corriente, de esas que ya sabes hacer cuando empleas Ajax, lo que debe hacer el script de recepción es actualizar el token en sesión y devolverlo a la vez.

Al recibir el resultado, la función callback que empleaste con jQuery utiliza el valor devuelto para actualizar el valor del token en el elemento que uses de tu markup.

¡Mas claro ni el agua!

Blashak · #8 (**permalink**) 21/02/2013, 03:16

Lo probare, gracias.