[pyar] CSRF y fFlask

Luis Andraschnik luis.andraschnik en gmail.com
Vie Abr 13 10:36:01 -03 2018


Lo que no me queda claro es quien es el que implementa la protección de los
formularios,por ejemplo, si tengo abierto gmail en el navegador, esa sería
un posible objetivo de ataque, la protección la debe implementar gmail? Si
yo tengo una app en desarrollo, pueden usar mi app como medio para atacar
mi cuenta de google?, o la app mía es el blanco? y el atacante  dónde está
, es una tercer página web?

En definitiva yo tengo que implementar sí o sí protección CSRF en mi app
flask esté corriendo mi servidor en una LAN como en internet?

Tengo una ensalada ...

El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
escribió:

>
> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com>:
>
>> Buen día grupo!
>>
>> Aún no entiendo bien cuales son los actores ni como funciona un ataque
>> CSRF, pero quería saber si yo estoy haciendo una app Flask en red local ,
>> tengo que habilitar protección CSRF en los formularios?
>> Gracias!
>> Luis
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>
>
> Por lo que lei  y sinser un especialista, CSRF es un ataque que afecta al
> servidor al recibir comandos que el usuario no deseaba incluir en las
> acciones del usuario. De tal forma que cuando un usuario se autentica usa
> las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
> donde "recuperr una clave".
>
> Es importante entender dos cosas: 1) Como es el usuario el que "realiza"
> la operación, el server confía en ese usuario para esa operación porque es
> una operación que puede realizar ese usuario. 2) el atacante no recibe el
> feedback, porque es el usuario el que realiza la accion y recibe la
> respuesta. Es por esto que los ataques son apuntados a cambios de estado
> para luego explotar esos cambios introducidos.
>
> Gedece
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/f2210f84/attachment-0001.html>


Más información sobre la lista de distribución pyar