Cross-Site Scripting (XSS) a CSRF: Vysvetlené ako keby ste mali 5 rokov

Úvod: Prečo by vás mal zaujímať svet webovej bezpečnosti?

Predstavte si, že ste na ihrisku. Hravo a bezstarostne sa hráte s kamarátmi, keď zrazu niekto začne podvádzať, schováva vám loptičku alebo sa snaží prevziať kontrolu nad vašou hrou. Nie je to fér, však? Tak nejako funguje aj internet, keď niekto začne hrať nečestne pomocou niečoho, čo sa volá Cross-Site Scripting (XSS) alebo CSRF.

Tieto dve skratky možno znejú ako tajomné kúzla, ale v skutočnosti sú to chyby, ktoré zlé osoby používajú, aby oklamali webové stránky a ľudí ako vy. Čítajte ďalej a ja vám to vysvetlím tak jednoducho, ako keby ste mali 5 rokov. Pripravte sa na cestu do sveta bezpečnosti, ktorá je vlastne celkom zábavná, keď to pochopíte správne.

Čo je Cross-Site Scripting (XSS)?

Predstavte si, že na ihrisku máte biely papier a fixku. Píšete si na papier svoje meno a obľúbenú hru. No predstavte si, že niekto iný vám tajne podstrčí papier, na ktorý nakreslí nejaký zlý obrázok alebo napíše škaredé slovo. Keď ho potom ukážete kamarátom, oni si myslia, že ste to nakreslili vy, aj keď to bol niekto iný.

XSS je presne takéto tajné vkladanie škodlivého kódu do webovej stránky. Zlý človek vloží kód, ktorý môže ukradnúť vaše dáta, ukázať niečo nevhodné alebo dokonca ovládnuť vašu stránku bez toho, aby ste to vedeli.

Ako XSS funguje?

• Webová stránka prijíma od vás nejaký text, napríklad komentár.

• Zlý človek napíše do komentára škodlivý kód namiesto obyčajného textu.

• Keď iní ľudia navštívia túto stránku, kód sa spustí u nich v prehliadači.

• Kód môže ukradnúť ich heslá, zobraziť falošné správy alebo robiť škodlivé veci.

Vtipná analógia: Je to, akoby zlý kamarát vložil do vášho obľúbeného rozprávkového knižky tajné odkazy, ktoré vás zavedú na strašidelné miesta.

Čo je CSRF (Cross-Site Request Forgery)?

Teraz si predstavte, že ste doma, pozriete sa na televízor, a zrazu niekto za vašim chrbtom pošle cez diaľkové ovládanie signál, ktorý zmení kanál, aj keď ste to nevy ste chceli.

CSRF je ako takéto tajné ovládanie. Zlý človek podstrčí vášmu prehliadaču (napríklad cez iný web alebo e-mail) príkaz, ktorý urobí niečo na stránke, kde ste prihlásení — napríklad zmení nastavenia alebo niečo kúpi — bez toho, aby ste o tom vedeli.

Ako CSRF funguje?

• Prihlásite sa na stránku (napríklad do internetového bankovníctva).

• Zlý človek vás oklame, aby ste navštívili inú webovú stránku.

• Tá stránka potichu pošle príkaz vašej banke (cez váš prehliadač).

• Banka si myslí, že ste to vy, a vykoná príkaz.

Vtipná analógia: Je to, akoby niekto za vás poslal list do obchodu s vaším podpisom, hoci vy ste to nikdy nepísali.

Ako mi môže XSS ublížiť?

Ak si myslíte, že ste v bezpečí, keď len surfujete po internete, zamyslite sa ešte raz. XSS môže byť veľmi nebezpečné, pretože:

• Krádež osobných údajov: Útočník môže ukradnúť vaše heslá, mená alebo čísla kariet.

• Falošné správy: Môže vám zobrazovať falošné upozornenia, ktoré vás oklamú.

• Ovládanie účtu: Môže meniť veci na vašom účte bez vášho súhlasu.

• Šírenie škodlivého softvéru: Pomocou XSS môže web rozosielať vírusy.

Ako sa weby chránia pred XSS a CSRF?

Našťastie, webové stránky dnes už nie sú také naivné ako kedysi. Používajú rôzne triky, aby sa chránili:

Ochrana pred XSS:

• Filtrovanie vstupu: Web kontroluje, čo píšete, a nepustí škodlivý kód.

• Kódovanie znakov: Premení kód na bezpečné znaky, aby sa nespustil.

• Použitie bezpečnostných hlavičiek: Napríklad Content Security Policy (CSP), ktorá zabraňuje spúšťaniu neznámeho kódu.

Ochrana pred CSRF:

• Tokeny: Každá požiadavka, ktorá mení niečo na účte, musí mať tajný kód (token), ktorý vie iba web a váš prehliadač.

• Overenie pôvodu požiadavky: Web kontroluje, či požiadavka naozaj prišla od vás a nie z iného miesta.

• Používanie bezpečných metód: Niektoré operácie sú povolené len cez bezpečné metódy (POST namiesto GET).

Prečo by ste mali byť ostražití?

Aj keď sa to všetko zdá ako záležitosť pre odborníkov, je dôležité, aby ste vedeli, ako sa chrániť aj vy. Nikdy neklikajte na podozrivé odkazy, nedávajte svoje heslá nikomu a vždy používajte bezpečné heslá.

Tip pre vás: Predstavte si, že váš prehliadač je ako vaša izba. Nechcete, aby do nej niekto vstúpil bez vášho dovolenia, však? Tak sa o ňu aj starajte.

Zhrnutie a výzva na záver

Teraz, keď viete, čo je Cross-Site Scripting (XSS) a CSRF a ako fungujú, máte väčšiu šancu sa im vyhnúť. Pamätajte si:

• XSS je ako zlý kamarát, ktorý vloží škodlivý kód na web.

• CSRF je ako niekto, kto ovláda váš prehliadač bez vášho vedomia.

• Webové stránky používajú rôzne bezpečnostné metódy, aby sa bránili.

• Vy môžete tiež byť ostražití a chrániť svoje dáta.

Ak vás zaujíma viac o bezpečnosti na internete alebo máte otázky, pokojne mi napíšte. Som tu, aby som vám pomohol rozlúštiť aj tie najzložitejšie kúsky internetu — jednoducho a zrozumiteľne.

Doporučené obrázky pre článok:

• Ilustrácia detského ihriska so „zlým kamarátom“ (pre XSS analogiu)

• Schéma, ako funguje XSS útok na webovú stránku

• Diagram, ktorý vysvetľuje CSRF útok cez prehliadač

• Obrázok „bezpečnostného štítu“ alebo tokenu ako symbol ochrany webu

Hľadáš web, ktorý naozaj funguje? Tvorba webstránok, úpravy, redizajn aj obsah – všetko na jednom mieste.