Насколько защищен шаблон токена синхронизатора от запросов подделки между сайтами при отправке по HTTP?

Question

Owasp рекомендует шаблон токена синхронизатора для защиты от подделки межсайтовых запросов. Если веб-страница отправляется по HTTP, то человек в середине сможет перехватить токен. Насколько это проблема?

Answer 1

Злоумышленник может украсть гораздо более конфиденциальную информацию, такую ​​как cookie, с помощью MITM, поэтому атака CSRF даже не понадобится.Если вы боитесь MITM и подслушивания, сделайте так, чтобы ваша веб-страница проходила через SSL.Кроме того, убедитесь, что у вас нет ни одного не-HTTPS-запроса, если этого будет достаточно для атаки MITM, такой как SSLStrip.Вы также можете отправить HTTP-заголовок ответа «Strict-Transport-Security: max-age = 30000» (или желаемое значение max-age).

Answer 2

Атаки MITM на токен CSRF, используемый по HTTP, почти никогда не станут проблемой, если только вредоносный сайт не находится в той же сети, что и жертва (и поэтому может направлять трафик жертвы через себя).

Однако сказанное p0deje верно. Если вы заботитесь о том, чтобы MITM украл токен CSRF, вам обязательно следует использовать HTTPS.