Les nonces sont-ils inutiles?

10

C’est probablement une question de noob MAIS l’écoute - l’intérêt d’utiliser Nonce pour se protéger de choses comme les scrappers (les scrappers phpcurl, etc.)? Mais mon Nonce imprime en tête du document comme suit:

/* <![CDATA[ */
var nc_ajax_getpost = {
    ...stuff...
    getpostNonce: "8a3318a44c"
};
/* ]]> */

Donc, si je construisais un scrapper rapide, j'obtiendrais simplement la valeur nonce de cette page, puis je l'utiliserais dans mon message ... rendant tout l'exercice d'utilisation d'un nonce inutile ...

Qu'est-ce qui me manque ici?

    
posée Adrian 28.10.2011 - 23:46

2 réponses

14

Les nonces sont uniques pour chaque utilisateur connecté. Vous ne pouvez pas gratter les utilisateurs d'un utilisateur connecté à moins d'avoir leurs cookies. Mais si vous avez les cookies d'un utilisateur, vous avez déjà volé son identité et pouvez faire ce que vous voulez.

Les nonces ont pour but de protéger les utilisateurs du risque de les inciter à faire quelque chose qu’ils ne voulaient pas faire, en cliquant sur un lien ou en soumettant un formulaire. Ils effectuent donc eux-mêmes cette action (non intentionnellement), pas l'attaquant.

    
réponse donnée scribu 29.10.2011 - 00:46
2

enlace

"En ingénierie de la sécurité, nonce est un nombre arbitraire utilisé une seule fois pour signer une communication cryptographique. ... Il s'agit souvent d'un protocole d'authentification ... aléatoire qui garantit que les anciennes communications ne peuvent pas être réutilisées dans des attaques par relecture."

L’idée est d’arrêter la soumission de données répétées. Vous créez un identifiant unique à usage unique personnel, de sorte que lorsque vous soumettez des données, cela ne peut être fait qu'une seule fois. Cela n'a rien à voir avec la navigation sur votre site. Quel est ce que fait le site de raclage. Comment feriez-vous la différence entre un robot de raclage et un robot de chalutage (comme Google)?

    
réponse donnée TCBarrett 01.11.2011 - 19:40

Lire d'autres questions sur les étiquettes