Чи є марними?

11

Це, мабуть, нооб-питання, Але мене вислуховують - чи не сенс використовувати Nonce для захисту від таких речей, як скраптики (phpcurl scrappers etc.)? Але мій Nonce друкує в голові документа так:

/* <![CDATA[ */
var nc_ajax_getpost = {
    ...stuff...
    getpostNonce: "8a3318a44c"
};
/* ]]> */

Отже, якщо я будував швидкий скребок, я просто отримав би значення nonce з цієї сторінки, а потім використаю його в моєму POST ... роблячи всю вправу використання нульового безкорисного ...

Що я тут пропускаю?

security nonce

— Адріан
джерело

2

Нонцес не має нічого спільного з вискоблюванням вмісту, звідки ти взяв це уявлення? ..

— Рарст

К тому дозвольте мені потім використати приклад запуску млина. Nonce використовується для запобігання нападу, пов’язаного з безпекою ... зловмисник все ще може отримати поняття від веб-сайту, оскільки він відображається публічно ... wtf?

— Адріан

1

Вам, мабуть, було б сенс перефразувати це питання в більш загальне питання про не поняття. Занадто багато для коментарів, а ваші початкові формулювання щодо скреблінгу не застосовуються.

— Рарст

16

Нюанси унікальні для кожного зареєстрованого користувача. Ви не можете викреслити думки користувача, який увійшов у систему, якщо у вас немає файлів cookie. Але якщо у вас є файли cookie користувача, ви вже вкрали їхню особу і можете робити все, що завгодно.

Нульові засоби покликані захищати від того, щоб користувачі не підманювали робити те, чого вони не хотіли робити, натискаючи посилання або подаючи форму. Тож вони самі виконують цю дію (ненавмисно), а не нападника.

— скрип
джерело

2

http://en.wikipedia.org/wiki/Cryptographic_nonce

"В інженерії безпеки, отже, це довільне число, яке використовується лише один раз для підписання криптографічного зв'язку. ... Часто це випадковий ... протокол аутентифікації для того, щоб старі комунікації не могли повторно використовуватися при атаках повторного відтворення."

Ідея полягає у припиненні подання повторних даних. Ви створюєте персональний для вас унікальний ідентифікатор, який дає змогу зробити це лише один раз. Це не має нічого спільного з переглядом вашого сайту. Це те, що робить скрабінг сайту. Як би ви розмежовували бота, що вискоблює, і бота, який тралить (як Google)?

— TCBarrett
джерело

9

Треба зазначити, що (заплутано) WordPress не можна використовувати більше, ніж один раз. Отже, це також не має нічого спільного з повторним поданням, це стосується перевірки наміру конкретного користувача, що робить конкретні дії щодо конкретного об'єкта.

— Рарст

3

@Rarst - чудовий момент щодо повторного використання, і, на жаль, коментарі до вихідного коду та самого кодексу вказують на те, що це один раз використання лише ключа. codex.wordpress.org/Function_Reference/wp_create_nonce - який затримується, коли ви розробляєте функцію, припускаючи, що ці числа не перевірятимуться більше одного разу . :(

— Маркус Папа