it-swarm.com.de

Sind Nonces nutzlos?

Dies ist wahrscheinlich eine unerfreuliche Frage, ABER hören Sie mich an - ist es nicht sinnvoll, Nonce zum Schutz vor Dingen wie Scrappern (phpcurl-Scrappern usw.) zu verwenden? Aber mein Nonce druckt im Kopf des Dokuments so aus:

/* <![CDATA[ */
var nc_ajax_getpost = {
    ...stuff...
    getpostNonce: "8a3318a44c"
};
/* ]]> */

Wenn ich also einen schnellen Scrapper erstellen würde, würde ich einfach den Nonce-Wert von dieser Seite abrufen und ihn dann in meinem POST verwenden ... was die gesamte Übung der Verwendung eines Nonce unbrauchbar macht ...

Was vermisse ich hier?

10
Adrian

Nonces sind für jeden angemeldeten Benutzer eindeutig. Sie können die Nonces eines angemeldeten Benutzers nur dann entfernen, wenn Sie deren Cookies haben. Wenn Sie jedoch die Cookies eines Benutzers haben, haben Sie dessen Identität bereits gestohlen und können tun, was Sie wollen.

Nonces sollen verhindern, dass Benutzer dazu verleitet werden, etwas zu tun, was sie nicht tun wollten, indem sie auf einen Link klicken oder ein Formular senden. Sie selbst führen diese Aktion (unbeabsichtigt) aus, nicht der Angreifer.

14
scribu

http://en.wikipedia.org/wiki/Cryptographic_nonce

"In der Sicherheitstechnik ist Nonce eine willkürliche Zahl, die nur einmal zum Signieren einer kryptografischen Kommunikation verwendet wird. Es ist häufig ein zufälliges Authentifizierungsprotokoll, um sicherzustellen, dass alte Kommunikationen bei Wiederholungsangriffen nicht wiederverwendet werden können."

Die Idee ist, die Übermittlung von Wiederholungsdaten zu stoppen. Sie erstellen eine eindeutige Kennung für die einmalige Verwendung, die für Sie persönlich bestimmt ist, sodass die Übermittlung von Daten nur einmal durchgeführt werden kann. Es hat nichts mit dem Durchsuchen Ihrer Website zu tun. Welches ist, was Website-Scraping macht. Wie würden Sie zwischen einem Scraping-Bot und einem Trawling-Bot (wie Google) unterscheiden?

2
TCBarrett