CSRF token -virheilmoitukset

[AnneliO]

Milloin ja miksi CSRF token -virheilmoituksia tulee

Kohan versionvaihdossa tuli mukana monia tietoturvaan liittyviä muutoksia. Yksi muutoksista johtuva käyttäjille näkyvä muutos on, että käyttäjät saavat nyt keltaisella pohjalla olevaa virheilmoitusta "Lomakkeen lähetys epäonnistui (väärä CSRF token). Päivitä sivu yrittääksesi uudelleen."

Tyypillisesti tämä tulee silloin, kun käyttäjällä on useampi välilehti auki ja hänelle tulee aikakatkaisu. Käyttäjä kirjautuu yhdellä välilehdellä ja siirtyy sitten jossain vaiheessa toiselle välilehdelle, jossa hänellä on kesken lomakkeen tallennus (asiakastiedon, kuvailutiedon, kuittipohjan yms.) ja jatkaa työtä tekemällä tallennuksen. Tässä vaiheessa taustalla on kuitenkin kyseisellä välilehdellä vanhentunut virheilmoituksessa mainittu CSRF token, jolloin tallennusta ei voida tietoturvasyistä suorittaa.

Virhetilanteesta pääsee eteenpäin kokeilemalla sivun päivittämistä. Jos se ei vie virheilmoitusta pois, esimerkiksi etusivulle siirtyminen monesti auttaa. Virheilmoituksen voi parhaiten välttää, kun tallentaa tiedot mahdollisimman usein, eikä yritä tallennusta sen jälkeen, kun on saanut aikakatkaisun ja on kirjautunut takaisin sisään toisella välilehdellä.

Virheilmoitus ei ole sinänsä vaarallinen, mutta se on hämmentävä. Koha-Suomi selvittelee, onko Koha-yhteisössä tähän jonkinlaista korjausta tai selkeytystä olemassa.

Mikä CSRF?

CSRF-hyökkäyksessä käyttäjä huijataan tekemään haitallisia toimintoja käyttämässään verkkosovelluksessa, esimerkiksi lähettämällä tälle aidonnäköinen linkki sovellukseen. Tyypillisesti hyökkäys tehdään sellaisiin toimintoihin, jotka muuttavat sovelluksessa olevaa dataa, kuten asiakastietoa käsitteleviin lomakkeisiin. Tämän vuoksi Kohassa kaikkien sellaisten lomakkeiden lähetys, jotka tekevät palvelimelle pyynnön lähettää, muuttaa ja poistaa dataa, on nyt suojattu CSRF-tokenilla. Tokenin tarkoitus on todentaa, että käyttäjällä on oikeus tehdä sovellukseen aiottu pyyntö. Jos token puuttuu tai se on virheellinen, pyyntö evätään.