[pyar] CSRF y fFlask

[Ing. Ignacio Daniel Favro]

Basicamente vos mandas un token único en cada formulario, que te asegura que quien esta enviando el formulario accedió por tu aplicación y no desde un POST por ejemplo en un formulario ajeno a tu web. La protección tener que implementarla vos, quizá venga algo para Flask la verdad desconozco, Django lo implementa por defecto por ejemplo.

Saludos!

> El 13 abr. 2018, a las 10:36, Luis Andraschnik <luis.andraschnik en gmail.com> escribió:
> 
> Lo que no me queda claro es quien es el que implementa la protección de los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa sería un posible objetivo de ataque, la protección la debe implementar gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante  dónde está , es una tercer página web? 
> 
> En definitiva yo tengo que implementar sí o sí protección CSRF en mi app flask esté corriendo mi servidor en una LAN como en internet?
> 
> Tengo una ensalada ... 
> 
> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com <mailto:gedece en gmail.com>> escribió:
> 
> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <luis.andraschnik en gmail.com <mailto:luis.andraschnik en gmail.com>>:
> Buen día grupo!
> 
> Aún no entiendo bien cuales son los actores ni como funciona un ataque CSRF, pero quería saber si yo estoy haciendo una app Flask en red local , tengo que habilitar protección CSRF en los formularios?
> Gracias!
> Luis 
> 
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar <mailto:pyar en python.org.ar>
> Sitio web: http://www.python.org.ar/ <http://www.python.org.ar/>
> 
> Para administrar la lista (o desuscribirse) entrar a http://listas.python.org.ar/listinfo/pyar <http://listas.python.org.ar/listinfo/pyar>
> 
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar <http://www.usla.org.ar/>
> 
> Por lo que lei  y sinser un especialista, CSRF es un ataque que afecta al servidor al recibir comandos que el usuario no deseaba incluir en las acciones del usuario. De tal forma que cuando un usuario se autentica usa las acciones del usuario para cambiar ciertos estados. Por ejemplo, la cuenta de email asociada con la cuenta es un buen blanco poruqe puede cambiarse con los permisos del usuario y puede ser una cuenta del atacante donde "recuperr una clave". 
> 
> Es importante entender dos cosas: 1) Como es el usuario el que "realiza" la operación, el server confía en ese usuario para esa operación porque es una operación que puede realizar ese usuario. 2) el atacante no recibe el feedback, porque es el usuario el que realiza la accion y recibe la respuesta. Es por esto que los ataques son apuntados a cambios de estado para luego explotar esos cambios introducidos. 
> 
> Gedece
> 
> 
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar <mailto:pyar en python.org.ar>
> Sitio web: http://www.python.org.ar/ <http://www.python.org.ar/>
> 
> Para administrar la lista (o desuscribirse) entrar a http://listas.python.org.ar/listinfo/pyar <http://listas.python.org.ar/listinfo/pyar>
> 
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar <http://www.usla.org.ar/>
> 
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
> 
> Para administrar la lista (o desuscribirse) entrar a http://listas.python.org.ar/listinfo/pyar
> 
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/ca99c7c9/attachment.html>