Discussion :

[nicolas2117]

Bonjour,
J'aimerais savoir comment vous protégez vos applications utilisant le Zend Framework contre les failles de sécurité de type CSRF, en particulier pour les requêtes GET. Pour les requêtes POST je sais que le ZF permet d'utiliser le Zend_Form_Element_Hash mais pour les requêtes GET j'ignore si il existe un moyen fourni par le ZF.
Merci.

[Nighty]

Bonjour,

Pas de solution "toute prête" à ma connaissance, même si je peux me tromper.

Je te recommande toutefois d'orienter ta recherche sur l'objet Zend_Controller_Request_Http : tu devrais pouvoir sans trop de mal contrôler les referers et court-circuiter l'affichage soit depuis les contrôleurs et actions "sensibles", soit depuis un Zend_Controller_Plugin si tu veux effectuer un contrôle global pour toute l'application.

Tu peux aussi paramétrer Zend_Session pour limiter la validité de la session à un certains nombre de "hops", et forcer une ré-identification au delà. Tu peux définir cette valeur pour chaque Zend_Session_Namespace, du coup ça te permet de vraiment limiter l'accès aux seules données sensibles sans allourdir les autres moins critiques.

Et comme tu le souligne pour les requêtes POST, Zend_Form fournit le Zend_Form_Element_Hash.

Bon, je suis très loin d'être un expert dans ce domaine, mais j'espère que ça aide un peu.

[nicolas2117]

Merci de ta réponse. Je vais jeter un oeil à ça dans la doc.
C'est dommage qu'il n'y a pas de solution standard, surtout pour un problème comme ça...
Sinon symfony utilise une méthode pas mal quand tu clique sur ton lien un formulaire avec un token est envoyé grâce à du javascript, au final c'est une requête POST et donc pour le ZF je pourrais utiliser Zend_Form_Element_Hash.

[nicolas2117]

Je te recommande toutefois d'orienter ta recherche sur l'objet Zend_Controller_Request_Http : tu devrais pouvoir sans trop de mal contrôler les referers et court-circuiter l'affichage soit depuis les contrôleurs et actions "sensibles", soit depuis un Zend_Controller_Plugin si tu veux effectuer un contrôle global pour toute l'application.

Il semblerait que le referer ne soit pas suffisant pour éviter les failles CSRF

[stealth35]

Il semblerait que le referer ne soit pas suffisant pour éviter les failles CSRF

Oui, surtout quand le navigateur n'envoie pas le referer, de plus que c'est une entete modifiable

[s.n.a.f.u]

Une bonne pratique serait de n'utiliser les appels GET que pour de la consultation.
Toute modification devant être effectuée au moyen d'un formulaire, donc une requête POST avec le Zend_Form_Element_Hash.

Une méthode alternative est d'utiliser un token dans les headers et de l'utiliser de la même manière que le Zend_Form_Element_Hash. Mais rien de tout prêt pour cette technique...