Çawa dikarin çerezên heman-malperê werin bikar anîn da ku êrişên CSRF kêm bikin?
Heman-malper cookies mekanîzmayek ewlehiyê ya girîng e ku dikare were bikar anîn da ku êrişên Daxwaza Daxwaza Xaçerê (CSRF) di serîlêdanên malperê de kêm bike. Êrîşên CSRF diqewimin dema ku êrîşkar mexdûrek dixapîne ku li ser malperek ku mexdûr li ser hatî pejirandin çalakiyek nexwestî pêk bîne. Bi îstismarkirina danişîna mexdûr, êrîşkar dikare li ser navê mexdûran bêyî razîbûna wan çalakiyan pêk bîne.
Heman-malper cookies bi sînordarkirina çarçoveya cookies ji heman eslê re dibe alîkar ku pêşî li êrîşên CSRF bigire. Orjînal bi berhevkirina protokolê (mînak, HTTP an HTTPS), domain, û jimareya portê tê destnîşankirin. Dema ku cookie bi taybetmendiya "SameSite" tête danîn, ew diyar dike ka divê cookie di daxwazên navmalperê de were şandin an na.
Ji bo taybetmendiya "SameSite" sê nirxên gengaz hene:
1. "Strict": Dema ku taybetmendiya "SameSite" wekî "Strict" were danîn, cookie tenê di daxwazên ku ji heman malperê têne şandin de têne şandin. Ev tê wê wateyê ku cookie dê di daxwazên cross-sîteyê de neyê şandin, bi bandor pêşî li êrîşên CSRF digire. Mînakî, heke bikarhênerek li ser "example.com" were pejirandin û serdana malperek xirab bike ku hewl dide êrîşek CSRF pêk bîne, gerok dê cookie-ya heman malperê ya "Strict" nekeve nav daxwazê, bi vî rengî pêşî li êrîşê bigire.
2. "Lax": Dema ku taybetmendiya "SameSite" wekî "Lax" were danîn, cookie di daxwazên xaç-malperê de ku ewle têne hesibandin tê şandin, wek mînak dema ku daxwaz ji hêla navîgasyonek asta jorîn a bikarhêner ve tê destnîşan kirin. Lêbelê, cookie di daxwazên ku ji hêla malperên sêyemîn ve têne destpêkirin de nayê şandin, wek mînak dema ku wêneyek an tagek skrîptê ji domainek din tê barkirin. Ev yek hevsengiyek di navbera ewlehî û bikêrbûnê de peyda dike. Mînakî, bikarhênerek ku bi riya lînkê serdanek malperek xirab dike dê êrişek CSRF neke ji ber ku cookie-ya heman malperê "Lax" dê di daxwaznameyê de nebe.
3. "None": Dema ku taybetmendiya "SameSite" wekî "None" were danîn, cookie di hemî daxwazên xaç-malperê de tê şandin, bêyî ku eslê wan be. Lêbelê, ji bo ewlehiya karanîna "None", pêdivî ye ku cookie wekî "Ewle" jî were nîşankirin, ku tê vê wateyê ku ew ê tenê li ser girêdanên HTTPS were şandin. Ev tevlihevî dihêle ku serîlêdanên malperê piştgirî bidin fonksiyonên xaç-malperê dema ku hîn jî li dijî êrîşên CSRF diparêze. Pêdivî ye ku were zanîn ku nirxa "None" tenê dema ku hewce be were bikar anîn, ji ber ku ew rûbera êrîşê û potansiyela qelsiyên CSRF zêde dike.
Ji bo ronîkirina karanîna cookie-yên heman-malperê di kêmkirina êrişên CSRF de, senaryoya jêrîn bifikirin: Malperek bankingê ku destûrê dide bikarhêneran ku drav veguhezînin. Bêyî çerezên heman-malperê, êrîşkarek dikaribû malperek xirab biafirîne ku tê de formek veşartî tê de heye ku bixweber daxwazek veguheztina fonê ji malpera bankê re dema ku ji hêla bikarhênerek pejirandî ve were serdan dike. Ger geroka bikarhêner di daxwaznameyê de cookie-ya danişînê hebe, dê veguheztin bêyî razîbûna bikarhêner were kirin. Lêbelê, bi danîna cookie-ya danişînê wekî cookie-ya heman-malperê ya bi taybetmendiya "Strict", gerok dê cookie-yê nekeve nav daxwaza xaça-malperê, bi bandor pêşî li êrîşa CSRF digire.
Heman-malper cookies mekanîzmayek ewlehiyê ya hêja ne ji bo kêmkirina êrîşên CSRF di serîlêdanên malperê de. Bi sînordarkirina çarçoweya cookie-yan ji heman eslê xwe re, van çerezan pêşî li êrîşkaran digire ku danişîna bikarhênerek bikar bînin da ku kiryarên bêdestûr bikin. Nirxa "Strict" piştrast dike ku cookies tenê di daxwazên ku ji heman malperê têne şandin de têne şandin, dema ku nirxa "Lax" dihêle ku cookies di daxwazên xaç-malperê yên ewle de bêne şandin. Nirxa "None", ku bi taybetmendiya "Ewle" re tê hev, fonksiyona nav-malperê dike di heman demê de ku hîn jî li dijî êrîşên CSRF diparêze.
Pirs û bersivên din ên vê dawiyê di derbarê EITC/IS/WASF Bingehên Ewlekariya Serîlêdanên Webê:
- Ma pêkanîna Do Not Track (DNT) di gerokên webê de li hember şopandina tiliyan diparêze?
- Ewlekariya Veguhastinê ya HTTP (HSTS) ji bo parastina li dijî êrîşên daxistina protokolê dibe alîkar?
- Êrîşa ji nû ve girêdana DNS çawa dixebite?
- Ma êrîşên XSS-ê yên hilanîn çêdibin dema ku nivîsarek xirab di daxwaznameyek serîlêdana malperê de tête kirin û dûv re ji bikarhêner re vedigere?
- Ma protokola SSL/TLS ji bo sazkirina pêwendiyek şîfrekirî di HTTPS de tê bikar anîn?
- Sernavên daxwaznameya metadata fêhmkirinê çi ne û ew çawa dikarin werin bikar anîn da ku di navbera heman eslê xwe û daxwazên xaç-malperê de cûda bikin?
- Cûreyên pêbawer çawa rûyê êrîşa serîlêdanên malperê kêm dikin û nirxandinên ewlehiyê hêsan dikin?
- Armanca polîtîkaya xwerû di celebên pêbawer de çi ye û ew çawa dikare were bikar anîn da ku peywirên rêzikên neewle nas bike?
- Pêvajoya afirandina cûreyên pêbawer bi karanîna API-yên pêbawer çi ye?
- Di polîtîkaya ewlehiya naverokê de rêwerzên cûreyên pêbawer çawa alîkariya kêmkirina qelsiyên DOM-based scripting cross-site (XSS) dike?
Pirs û bersivan di Bingehên Ewlekariya Serlêdanên Webê yên EITC/IS/WASF de bibînin