Google Redskaper Cross-site request Forfalskning Protection

Cross-site request forfalskning angrepene er utført fra et datasystem eller bruker som er klarert av en nettside.

Cookies som ikke utløper etter en bruker lukker nettside eller nettleser er en av de vanligste formene for tillit som kan utnyttes av cross-site request forfalskning angrep.

Angriperen trenger å bruke brukerens nettleser for å sende HTTP-forespørsler til Målet nettside som vanligvis oppnås ved å legge ut disse lenkene i e-post, forum, chat og andre kommunikasjonsmidler.

I faresonen er webapplikasjoner som utfører handlinger basert på innspill fra klarerte og godkjente brukere uten å kreve at brukeren autorisere den konkrete tiltak. En bruker som er godkjent av en cookie lagret i brukerens nettleser kan uvitende sende en HTTP-forespørsel til et nettsted som har tillit til at brukeren og dermed fører til en uønsket handling. (kilde Wikipedia)

Google har (endelig) begynt å implementere cross-site request forfalskning beskyttelse for å beskytte Google-brukere og deres elektroniske tjenester i henhold til en artikkel postet av registeret.

En gang i siste tre dagene, Googles påloggingssider begynte å sette en cookie med en unik token på hver brukers nettleser, ifølge Mike Bailey, senior forsker for forgrunn Security. Samme verdi er også innebygd i innloggingsskjemaet. Dersom de to ikke stemmer overens, vil brukeren være i stand til å logge inn.

Dette betyr i praksis at Google sammen cookie innstilt i brukersystemet til informasjon innebygd på selskapets login skjemaer til å blokkere tilgangen til en konto hvis de to ikke stemmer overens.

Sikkerhetseksperter har kritisert Google i det siste for å ikke implementere en cross-site request forfalskning beskyttelse. Google ingeniører var raske til å lukke sikkerhetsproblemer som ble forårsaket av denne type angrep, men ikke gjennomføre en generisk beskyttelse mot denne type angrep. Anmeldelser