견적 : CSRF는 "큰 일"이 때부터CSRF 보호가 필요하지 않습니까?
웹은 많이 변화하고 있으며, CSRF 공격에 사용 된 전술 은 오래된되고있다.
주로 개인적으로 안전하지 않은 인증 방법 인 을 사용하지 않기 때문에 개인적으로 CSRF로부터 보호하지 않습니다.
그는 어떤 의미가 있습니까?
몇 가지 주장을 제공해주십시오. 제가 맞으면, 왜이 사람이 (고집 스럽습니까?) 요점을 말하려고 노력하면서 명확하게 생각하지 않고 있지만, 실제로 그것을 표현하는 방법에 관해서는 백이 아닙니다. ..
따옴표로 묶인 인수에는 의미가 없지만 누락 된 다른 상황이있을 수 있습니다.
동료가 CSRF 문제가없는 '노골적으로 안전하지 않은'인증 방법이 무엇인지 제안하는 것이 확실하지 않습니다.
세션에 의존하는 대신 입력 토큰으로 인증 토큰을 전달할 수있는 완전 AJAX 기반 앱과 같은 몇 가지 가능성이 있습니다. 이 경우 인증 토큰은 이미 공격자가 사용할 수없는 비밀이되므로 추가적인 CSRF 방지 조치는 필요하지 않습니다.
하지만 CSRF는 일반적으로 사라지지 않았습니다. 브라우저는 그 일을 막기위한 마술 기능을 키워 가지 않았습니다. 브라우저 - 영속 인증 모델 (쿠키, HTTP 인증)을 사용하는 일반적인 webapp 모델의 경우 어떤 방식 으로든이를 해결해야합니다.
절대적으로 아니오 .. – allaire
이 문제를 해결해 줄 수 있습니까? 그 사람이 말하는 것을 믿는 사람들이 잘못된 방향으로 가고 싶지 않습니다. – John
레일즈는 여기 CSRF에 대한 좋은 정보를 가지고 있습니다 : http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf – allaire