Início‎ > ‎

Re-autenticar antes de operações críticas

Nos últimos tempos, um problema recorrente e perigoso em aplicações web conhecido como CSRF (Cross-Site Request Forgery) tem sido muito comentado. O item Evitar ataques de CSRF descreve em detalhes o ataque e suas consequências.

Os ataques de CSRF são possíveis porque, após a autenticação do usuário e emissão do identificador de sessão, o controle de sessões em aplicações web ocorre entre o browser e a aplicação. Ou seja, a aplicação verifica se a requisição veio do browser correto e não do usuário. A melhor forma de combater este problema é re-autenticar o usuário sempre que houver uma requisição de uma função crítica ou perigosa. Por exemplo, este tipo de controle é normalmente utilizado em aplicações de internet banking, que solicitam uma nova digitação da senha do usuário sempre a for solicitada uma operação que envolva alteração do saldo do usuário (pagamento, transferência, etc).

Para dificultar ataques de CSRF, pode-se também usar as técnicas descritas nos itens Usar corretamente POST e GET e Evitar ataques de CSRF.
Comments