من با استفاده از sodium_crypto_secretbox و sodium_crypto_secretbox_open توابع در PHP (در حال حاضر PHP 5.6، با استفاده از paragonie / sodium_compat )
متن cypher، متن غیر کجایی و رمزگشایی، آیا می توانند کلیدی را که برای رمزگذاری اطلاعات استفاده می شود تعیین کند؟
متن: رمزگذاری ورود کاربر (یک کوکی، ذخیره شده در دستگاه) و استفاده از آن به عنوان یک نشانه CSRF نشانه CSRF لزوما شامل nonce برای رمزگشایی در هنگام ارسال است. Token CSRF رمزگشایی شده و در ارسال فرم POST ها برای محافظت در برابر حملات CSRF تأیید شده است.
نگرانی من برای حمله کنندگان CSRF بسیار زیاد نیست، بلکه به عنوان کلیدی برای دسترسی به کوکی ها وجود ندارد. برای ساده بودن، استفاده از همان کلید برای سایر توابع رمزگذاری در نرم افزار مفید است، اما من نمی توانم از این اطلاعات به راحتی استفاده کنم. یک کاربر مشروع میتواند نشانه و کوکی CSRF را ببیند: آیا میتوانند کلید را کشف کنند؟
