Una contraffazione tra siti (XSRF o CSRF), nota anche con una varietà di nomi tra cui la contraffazione di richieste tra siti, la sessione di guida e l’attacco con un clic, è un tipo difficile di exploit del sito Web da prevenire. Funziona inducendo un browser Web a inviare comandi non autorizzati a un server remoto. Gli attacchi di contraffazione tra siti funzionano solo contro gli utenti che hanno effettuato l’accesso a siti Web con credenziali autentiche; di conseguenza, la disconnessione dai siti Web può essere una misura preventiva semplice ed efficace. Gli sviluppatori Web possono utilizzare token generati casualmente per prevenire questo tipo di attacco, ma dovrebbero evitare di controllare il referrer o fare affidamento sui cookie.
È comune che gli exploit di contraffazione tra siti prendano di mira i browser Web in quello che è noto come “attacco di vice confuso”. Credendo di agire per conto dell’utente, il browser viene indotto a inviare comandi non autorizzati a un server remoto. Questi comandi possono essere nascosti all’interno di porzioni apparentemente innocenti del codice di markup di una pagina Web, il che significa che un browser che tenta di scaricare un file immagine potrebbe effettivamente inviare comandi a una banca, a un rivenditore online o a un sito di social network. Alcuni browser ora includono misure progettate per prevenire attacchi di falsificazione tra siti e programmatori di terze parti hanno creato estensioni o plug-in che mancano di queste misure. Potrebbe anche essere una buona idea disattivare la posta elettronica HyperText Markup Language (HTML) nel client preferito perché questi programmi sono anche vulnerabili agli attacchi di contraffazione tra siti.
Poiché gli attacchi di contraffazione tra siti si basano su utenti che hanno effettuato l’accesso legittimamente a un sito Web. Con questo in mente, uno dei modi più semplici per prevenire un tale attacco è semplicemente disconnettersi dai siti che hai finito di utilizzare. Molti siti che trattano dati sensibili, comprese banche e società di brokeraggio, lo fanno automaticamente dopo un certo periodo di inattività. Altri siti adottano l’approccio opposto e consentono agli utenti di accedere in modo persistente per giorni o settimane. Anche se potresti trovarlo conveniente, ti espone ad attacchi CSRF. Cerca un’opzione “ricordami su questo computer” o “mantieni l’accesso” e disabilitala e assicurati di fare clic sul link di disconnessione quando hai completato una sessione.
Per gli sviluppatori web, eliminare le vulnerabilità di contraffazione tra siti può essere un compito particolarmente impegnativo. Il controllo delle informazioni sui referrer e sui cookie non fornisce molta protezione perché gli exploit CSRF sfruttano le credenziali dell’utente legittimo e queste informazioni sono facili da falsificare. Un approccio migliore sarebbe quello di generare casualmente un token monouso ogni volta che un utente accede e richiedere che il token sia incluso in qualsiasi richiesta inviata dall’utente. Per richieste importanti come acquisti o trasferimenti di fondi, richiedere a un utente di reinserire nome utente e password può aiutare a garantire l’autenticità della richiesta.