¿Se puede falsificar una etiqueta meta? (¿Es un metatag suficiente para declarar que una página está protegida?)

3

Fondo

Estoy trabajando como desarrollador de aplicaciones para usuario y tengo muy poca experiencia en seguridad. Estamos trabajando con una configuración backend muy oscura, utilizando una base de datos 4D y WebClerk en la parte superior.

WebClerk permite a los usuarios registrados. Todas las páginas son páginas .html reales, con un código específico de WebClerk que se procesa en la carga de la página (similar a PHP). Para saber si una página está protegida, usa una etiqueta personalizada meta en el head . Cuando el servidor lee la página, comprueba si existe la etiqueta de seguridad meta y, en caso afirmativo, realiza una verificación de inicio de sesión, y si no, pasa a una página de error.

Pregunta

¿Es segura una etiqueta meta ? ¿Se puede falsificar?

    
pregunta Andy Mercer 22.09.2015 - 17:15
fuente

2 respuestas

4

Cualquier cosa proporcionada por el cliente al servidor puede ser alterada por el cliente, incluyendo cualquier contenido / etiquetas HTML.

Observe productos como Burp Proxy para darle una idea del poder disponible para el cliente. Le permite interceptar manualmente las respuestas y luego inspeccionarlas y editarlas antes de enviarlas. Es una herramienta muy común para los piratas informáticos (y profesionales de seguridad) para usar.

    
respondido por el schroeder 22.09.2015 - 17:29
fuente
1

La pregunta real que debe hacerse es si su usuario puede editar los archivos html. Si sus usuarios pueden editar o cargar archivos html, deberá asegurarse de que su servidor esté configurado para que no los procese (es decir, se sirvan como un simple archivo estático) o que solo los usuarios privilegiados y confiables puedan subir a áreas que permitan procesar las páginas como código del lado del servidor.

Otra consideración es que es posible que desee verificar que la etiqueta meta no esté presente en el resultado final de la página. Esto puede filtrar información de autorización y, dependiendo de su modelo de seguridad, esto puede ser un problema.

Ya sea que use una metaetiqueta o una base de datos o algo más para implementar la autorización, es irrelevante. Lo que importa es que el componente que exige la autorización debe ser el servidor (y no el cliente). Su cliente se ejecuta en la máquina del usuario, debe asumir que puede hacer cualquier cosa en su máquina, como no respetar ningún código que le haya pedido al cliente que ejecute o divulgue al usuario el contenido de cualquier cosa que viaje entre el servidor y el cliente.

    
respondido por el Lie Ryan 22.09.2015 - 17:54
fuente

Lea otras preguntas en las etiquetas