¿Son inútiles los nonces?

10

Esta es probablemente una pregunta novedosa PERO, escúchame, ¿no es el punto de usar Nonce para protegerte de cosas como los scrappers (phpcurl scrappers, etc.)? Pero mi Nonce se imprime en la cabecera del documento como tal:

/* <![CDATA[ */
var nc_ajax_getpost = {
    ...stuff...
    getpostNonce: "8a3318a44c"
};
/* ]]> */

Entonces, si estuviera creando un scrapper rápido, obtendría el valor de nonce de esa página y luego lo utilizaría en mi POST ... haciendo que todo el ejercicio de usar un Nonce sea inútil ...

¿Qué me estoy perdiendo aquí?

    
pregunta Adrian 28.10.2011 - 23:46

2 respuestas

14

Los nonces son únicos para cada usuario que ha iniciado sesión. No puede raspar los archivos de un usuario conectado a menos que tenga sus cookies. Pero si tiene cookies de un usuario, ya ha robado su identidad y puede hacer lo que quiera.

Los nonces tienen la intención de proteger contra los usuarios que son engañados para hacer algo que no pretendían hacer, haciendo clic en un enlace o enviando un formulario. Así que ellos mismos realizan esta acción (sin intención), no el atacante.

    
respondido por el scribu 29.10.2011 - 00:46
2

enlace

"En ingeniería de seguridad, nonce es un número arbitrario que se usa solo una vez para firmar una comunicación criptográfica. ... Con frecuencia es un protocolo de autenticación aleatorio ... para garantizar que las comunicaciones antiguas no puedan reutilizarse en los ataques de repetición".

La idea es detener el envío de datos repetidos. Usted crea un identificador único de uso único para usted, de modo que cuando envía datos, solo se puede hacer una vez. No tiene nada que ver con la navegación de su sitio. Que es lo que hace el raspado del sitio. ¿Cómo diferenciarías un bot raspador y un bot de arrastre (como Google)?

    
respondido por el TCBarrett 01.11.2011 - 19:40

Lea otras preguntas en las etiquetas