[pyar] CSRF y fFlask
Luis Andraschnik
luis.andraschnik en gmail.com
Vie Abr 13 12:23:23 -03 2018
Buena idea hacer un e-comerce sin protección CSRF para vender
compulsivamente, el único problema es que debe ser un poco ilegal ...
El 13 de abril de 2018, 11:38, Francisco J Capdevila <fjcapdevila en gmail.com>
escribió:
> Hacer tu app segura frente a CSRF es relativamente fácil. Deberías tener
> una MUY buena razón para hacerla insegura a propósito ante un tipo de
> ataque tan conocido.
>
> Francisco J. Capdevila
>
> El 13 de abril de 2018, 11:15, Luis Andraschnik <
> luis.andraschnik en gmail.com> escribió:
>
>> Si en el navegador tengo desactivada la ejecución de javascript no sería
>> posible el ataque?
>>
>> El 13 de abril de 2018, 10:51, Federico Apelhanz <elmaildejapel en gmail.com
>> > escribió:
>>
>>> csrf es una forma de protejerte vos contra posibles ataques, sirve para
>>> asegurarte que el post
>>> que te llega es de un formulario que efectivamente serviste desde tu
>>> app. Un ejemplo burdo es el siguiente, tenes un e-commerce sin csrf, tenes
>>> un cliente logeado, tranquilamente alquien puede pasarle un pagina con
>>> codigo js malicioso que haga un post contra tu servidor y le haga comprar
>>> 10000000 cosas, tu app chequea que esta logeado y listo, lo da como valido
>>> porque no chequea más nada. Sobre si tenes que implementarlo vos para una
>>> lan, lo recomendable es que si, porque seguis siendo vulnerable.
>>>
>>> El 13 de abril de 2018, 10:36, Luis Andraschnik <
>>> luis.andraschnik en gmail.com> escribió:
>>>
>>>> Lo que no me queda claro es quien es el que implementa la protección de
>>>> los formularios,por ejemplo, si tengo abierto gmail en el navegador, esa
>>>> sería un posible objetivo de ataque, la protección la debe implementar
>>>> gmail? Si yo tengo una app en desarrollo, pueden usar mi app como medio
>>>> para atacar mi cuenta de google?, o la app mía es el blanco? y el atacante
>>>> dónde está , es una tercer página web?
>>>>
>>>> En definitiva yo tengo que implementar sí o sí protección CSRF en mi
>>>> app flask esté corriendo mi servidor en una LAN como en internet?
>>>>
>>>> Tengo una ensalada ...
>>>>
>>>> El 13 de abril de 2018, 10:21, Gustavo Campanelli <gedece en gmail.com>
>>>> escribió:
>>>>
>>>>>
>>>>> 2018-04-13 10:05 GMT-03:00 Luis Andraschnik <
>>>>> luis.andraschnik en gmail.com>:
>>>>>
>>>>>> Buen día grupo!
>>>>>>
>>>>>> Aún no entiendo bien cuales son los actores ni como funciona un
>>>>>> ataque CSRF, pero quería saber si yo estoy haciendo una app Flask en red
>>>>>> local , tengo que habilitar protección CSRF en los formularios?
>>>>>> Gracias!
>>>>>> Luis
>>>>>>
>>>>>> _______________________________________________
>>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>>> Sitio web: http://www.python.org.ar/
>>>>>>
>>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>>
>>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre
>>>>>> de Argentina - http://www.usla.org.ar
>>>>>
>>>>>
>>>>> Por lo que lei y sinser un especialista, CSRF es un ataque que
>>>>> afecta al servidor al recibir comandos que el usuario no deseaba incluir en
>>>>> las acciones del usuario. De tal forma que cuando un usuario se autentica
>>>>> usa las acciones del usuario para cambiar ciertos estados. Por ejemplo, la
>>>>> cuenta de email asociada con la cuenta es un buen blanco poruqe puede
>>>>> cambiarse con los permisos del usuario y puede ser una cuenta del atacante
>>>>> donde "recuperr una clave".
>>>>>
>>>>> Es importante entender dos cosas: 1) Como es el usuario el que
>>>>> "realiza" la operación, el server confía en ese usuario para esa operación
>>>>> porque es una operación que puede realizar ese usuario. 2) el atacante no
>>>>> recibe el feedback, porque es el usuario el que realiza la accion y recibe
>>>>> la respuesta. Es por esto que los ataques son apuntados a cambios de estado
>>>>> para luego explotar esos cambios introducidos.
>>>>>
>>>>> Gedece
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>>> Sitio web: http://www.python.org.ar/
>>>>>
>>>>> Para administrar la lista (o desuscribirse) entrar a
>>>>> http://listas.python.org.ar/listinfo/pyar
>>>>>
>>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>>> Argentina - http://www.usla.org.ar
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>>> Sitio web: http://www.python.org.ar/
>>>>
>>>> Para administrar la lista (o desuscribirse) entrar a
>>>> http://listas.python.org.ar/listinfo/pyar
>>>>
>>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>>> Argentina - http://www.usla.org.ar
>>>>
>>>
>>>
>>> _______________________________________________
>>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>>> Sitio web: http://www.python.org.ar/
>>>
>>> Para administrar la lista (o desuscribirse) entrar a
>>> http://listas.python.org.ar/listinfo/pyar
>>>
>>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>>> Argentina - http://www.usla.org.ar
>>>
>>
>>
>> _______________________________________________
>> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
>> Sitio web: http://www.python.org.ar/
>>
>> Para administrar la lista (o desuscribirse) entrar a
>> http://listas.python.org.ar/listinfo/pyar
>>
>> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
>> Argentina - http://www.usla.org.ar
>>
>
>
> _______________________________________________
> Lista de Correo de PyAr - Python Argentina - pyar en python.org.ar
> Sitio web: http://www.python.org.ar/
>
> Para administrar la lista (o desuscribirse) entrar a
> http://listas.python.org.ar/listinfo/pyar
>
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de
> Argentina - http://www.usla.org.ar
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20180413/4c49ad75/attachment.html>
Más información sobre la lista de distribución pyar