[pyar] CSRF y fFlask

[Gustavo Campanelli]

2018-04-13 10:05 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com>:

> Buen día grupo!
>
> Aún no entiendo bien cuales son los actores ni como funciona un ataque
> CSRF, pero quería saber si yo estoy haciendo una app Flask en red local ,
> tengo que habilitar protección CSRF en los formularios?
> Gracias!
> Luis
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar


Por lo que lei  y sinser un especialista, CSRF es un ataque que afecta al
servidor al recibir comandos que el usuario no deseaba incluir en las
acciones del usuario. De tal forma que cuando un usuario se autentica usa
las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
cuenta de email asociada con la cuenta es un buen blanco poruqe puede
cambiarse con los permisos del usuario y puede ser una cuenta del atacante
donde "recuperr una clave".

Es importante entender dos cosas: 1) Como es el usuario el que "realiza" la
operación, el server confía en ese usuario para esa operación porque es una
operación que puede realizar ese usuario. 2) el atacante no recibe el
feedback, porque es el usuario el que realiza la accion y recibe la
respuesta. Es por esto que los ataques son apuntados a cambios de estado
para luego explotar esos cambios introducidos.

Gedece
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/23276286/attachment.html>