Что такое неверный токен пользователя в 1с
Перейти к содержимому

Что такое неверный токен пользователя в 1с

  • автор:

Что означает ошибка «CSRF токен истек»

Если вы столкнулись с ошибкой «истек CSRF-токен» — читайте нашу статью. Из неё вы узнаете, как работает CSRF-token защита, и что делать, если CSRF токен истек.

Ошибка токен истек 1

Что такое CSRF

CSRF (англ. cross-site request forgery) — это межсайтовая подделка запроса. Это атака, которой может подвергаться любой веб-ресурс или веб-приложение. В первую очередь это касается сайтов, которые используют cookies, сертификаты авторизации и браузерную аутентификацию. В результате атаки страдают клиенты и репутация ресурса.

Вредоносный скрипт прячется в коде сайта или обычной ссылке. С помощью него мошенник получает доступ к конфиденциальной информации: платежным реквизитам, логину и паролю, личной переписке. После того как данные «в кармане», хакер может изменить пароль, указать свой номер телефона или email, перевести деньги на свой счёт и многое другое.

Как работает CSRF-атака

Злоумышленник может использовать фишинговую ссылку — это наиболее распространенный способ обмана. В этом случае атака работает по следующей схеме:

  1. Злоумышленник создаёт поддельную страницу, очень похожую на оригинальную, и встраивает её в сайт.
  2. Пользователь переходит с одной страницы сайта на другую (например, на страницу оплаты) и вместо реальной страницы попадает на поддельную.
  3. Пользователь совершает действие на странице, например, оплачивает товар или вводит данные авторизации.
  4. Информация или денежные средства вместо оригинального сервера уходят на сервер мошенника.

CSRF-атаки случаются из-за того, что без специальных настроек сервер не может с точностью в 100% определить, кто именно выполняет действия со стороны пользователя. Он не может проверить, действительно ли на кнопку «оплатить» нажал тот пользователь, который изначально открыл страницу с оплатой. Хакеры активно используют этот люфт в безопасности HTTP-запросов и применяют вредоносные скрипты. Однако от атаки можно защититься с помощью CSRF-токенов.

Что такое CSRF-token и как он работает

В общем понимании токен — это механизм, который позволяет идентифицировать пользователя или конкретную сессию для безопасного обмена информацией и доступа к информационным ресурсам. Токены помогают проверить личность пользователя (например, клиента, который онлайн получает доступ к банковскому счёту). Их используют как вместо пароля, так и вместе с ним. Токен — это в каком-то смысле электронный ключ.

CSRF-token — это максимально простой и результативный способ защиты сайта от CSRF-мошенников. Он работает так: сервер создаёт случайный ключ (он же токен) и отправляет его браузеру клиента. Когда браузер запрашивает у сервера информацию, сервер, прежде чем дать ответ, требует показать ключ и проверяет его достоверность. Если токен совпадает, сессия продолжается, а если нет — прерывается. Токен действителен только одну сессию — с новой сессией он обновляется.

Чтобы получить ответ от сервера, используются разные методы запроса. Условно они делятся на две категории: те, которые не изменяют состояние сервера (GET, TRACE, HEAD), и те, которые изменяют (PUT, PATCH, POST и DELETE). Последние имеют большую CSRF-уязвимость и поэтому должны быть защищены в первую очередь.

При создании и использовании токена должны соблюдаться следующие условия:

  • нахождение в скрытом параметре;
  • генерация с помощью генератора псевдослучайных чисел;
  • ограниченное время жизни (одна сессия);
  • уникальность для каждой транзакции;
  • устойчивый к подбору размер (в битах);
  • невозможно переиспользовать.

Типы токенов

Существует три основных типа токенов по способу генерации:

  1. Synchronizer Tokens или Anti-CSRF (токены синхронизации). В этом случае инициатором ключа выступает сервер — на нём хранится исходная шифровка. Когда браузер обращается к серверу и предъявляет ему ключ, сервер сравнивает его с исходником и в зависимости от результата продолжает или прерывает сессию.
  2. Double Submit Cookie (двойная отправка куки). При этом способе токен нигде не хранится. Когда браузер обращается к серверу впервые за сессию, сервер генерирует и передаёт ему ключ в двух формах: через куки и в одном из параметров ответа. При следующих обращениях браузера сервер дважды проверяет правильность ключа — в параметрах и в куках.
  3. Encrypted Token (зашифрованный токен). Этот способ предполагает, что ключом шифруется какая-то часть информации о клиенте, которая содержится в браузере. При первом запросе браузера сервер получает информацию о пользователе, зашифровывает её и передаёт браузеру токен. При следующем взаимодействии сервер расшифровывает токен и сверяет информацию.

Помимо токенов, для защиты используется флаг Same-Site (большинство браузеров его поддерживает). Он работает напрямую для cookies и позволяет помечать куки конкретного домена. Сервер проверяет, содержатся ли нужные пометки в куках страницы, с которых происходит оплата или вносятся изменения. Если пометок нет — сессия прекращается.

Также в качестве меры защиты на страницах сайта настраивают форму с капчей. Это особенно актуально для страниц смены пароля или совершения денежных транзакций.

«Истек срок действия токена» или «CSRF-значение недопустимо»: что это значит и что делать

Даже при авторизации на сайтах, для которых настроена защита от атак, можно встретить следующие варианты сообщения об ошибке: «Недопустимое CSRF-значение»/«CSRF-токены не совпадают» или «Token expired» (в переводе — срок действия токена истек). Сообщение может отображаться как на английском, так и на русском. Пример ошибки при авторизации на сайте Рег.ру:

Ошибка токен истек 2

Обычно ошибка возникает по двум основным причинам:

  • сервер некорректно сгенерировал токен;
  • срок токена истек — пользователь долго не совершал никаких действий на странице.

В обоих случаях исправить проблему поможет перезагрузка страницы — вы запустите новую сессию, а значит, сервер и браузер договорятся о новом рабочем токене. Для этого нажмите на значок обновления страницы:

Ошибка токен истек 3

Иногда ошибка возникает из-за расширений защиты конфиденциальности или плагинов блокировки рекламы (например, Ghostery, UBlock Origin, Blur), которые настроены у пользователя. В этом случае можно отключить расширение. Также можно добавить сайт, на котором появилось сообщение, в список доверенных сайтов.

На примере сайта Рег.ру покажем, что для этого нужно:

в Google Chrome

  1. Откройте настройки Chrome:

Ошибка токен истек 4

  1. В списке слева выберите Конфиденциальность и безопасность, а затем Файлы cookie и другие данные сайтов.
  2. Внизу страницы откройте Сайты, которые всегда могут использовать файлы cookie и кликните Добавить.
  3. Введите «[.]www.reg.ru» и нажмите Добавить*.
  4. Нажмите Все файлы cookie и данные сайта и удалите все записи, которые связаны с сайтом reg.ru.
  5. Перезагрузите браузер и выполните операцию повторно.

в Яндекс.Браузер

  1. Откройте настройки браузера Яндекс:

20220125_chto_oznachayet_oshibka_csrf_token_istek_5.png

  1. Перейдите на СайтыРасширенные.
  2. Кликните Настройки… для первого параметра в списке. Затем на вкладке «Разрешена» введите www.reg.ru и кликните Добавить.
  3. Добавьте адрес сайта для всех параметров списка по аналогии.
  1. Откройте настройки Safari комбинацией Cmd + , (⌘,).
  2. Перейдите на вкладку Конфиденциальность и проверьте, что в пункте «Файлы cookie и данные веб-сайтов» не выбрано «Блокировать все файлы cookie». Если это так, снимите настройки.
  3. Кликните Управление данными веб-сайтов и удалите все записи, которые относятся к www.reg.ru.
  4. Перезагрузите браузер и выполните операцию повторно.

В некоторых случаях сгенерировать верный токен мешают локальные настройки куки в браузере. Чтобы сессия прошла успешно, достаточно вернуть дефолтные настройки.

Заключение

Успешная атака CSRF позволяет хакеру действовать на сайте от имени другого зарегистрированного посетителя. Чтобы мошенник не добрался до конфиденциальных данных, для сайта нужно настроить один из типов CSRF-токенов. Токены позволяют серверу и браузеру безопасно обмениваться информацией в течение сессии. Однако даже на безопасных сайтах можно столкнуться с ошибкой «токен CSRF истек». В этом нет ничего страшного. Чтобы возобновить подключение, достаточно обновить страницу браузера.

Помогла ли вам статья?

Спасибо за оценку. Рады помочь ��

Авторизация гостей в сети wifi

Для авторизации гостя можно использовать GET Запрос к базе 1С-Отель. Поддерживаются фукнции для проверки гостя по номеру комнаты и дополнительному праметру, например дата рождения, номер телефона или фамилии гостя.

Авторизация

Все запросы проходят авторизацию с помощью токена.

Токен выдается администратором базы 1С-Отель.

Параметры GET запроса

  • token — строка с токеном, корый выдает администратор базы 1С—Отель
  • room — номер комнаты
  • phone — номер телефона гостя
  • LastName — фамилия гостя
  • DateOfBirth — дата рождения в формате YYYYMMDD

Возвращаемые значения

  • Success = true, если авторизация прошла успешно, false если в номере никто не зарегистрирован.
  • Error — описание ошибки.Если произошла ошибка при выполнении запроса или описание причины почему success=false
  • URL — ссылка на персональную страницу гостя на которую можно сделать редирект в случае успешной авторизации. На этой странице гость имеет доступ к счету и заказу дополнительных услуг.

Сертификат не найден на компьютере

При возникновении ошибки «Сертификат не имеет связи с закрытым ключом» необходимо выполнить проверку сертификата электронной подписи.

Алгоритм проверки электронной подписи:

В программном продукте 1С необходимо

1. перейти в раздел «Администрирование»

2. «Обмен электронными документами»

3. «Настройка электронной подписи и шифрования»

4. На вкладке «Сертификаты» открыть используемый сертификат

5. Нажать на кнопку «Проверить»

!1.jpg

6. Ввести пароль закрытой части ключа и нажать «Проверить»

! Обращаем Ваше внимание, что программа сама увеличит количество * в поле «Пароль:» до 16 при проверке. Данное поведение является штатным и выступает дополнительной защитой конфиденциальных данных в виде количества символов в пароле. Проверка будет осуществлена на основании введенных Вами данных .

Если в ходе проверки напротив пункта «Наличие сертификата в личном списке» возникнет сигнализирующий желтый символ, на него необходимо нажать для открытия технической информации.

Если в технической информации об ошибке указано » Сертификат не найден на компьютере.Проверка подписания, созданной подписи и расшифровки не могут быть выполнены.» это обозначает, что сертификат не установлен на данном рабочем месте в личном списке. Проверить это можно перейдя в Панель управления — Свойства браузера

8.jpg
В открывшемся окне перейти на вкладку «Содержание» и нажать «Сертификаты»


В сертификатах перейти на вкладку «Личные».

Как видно на примере в личных действительно отсутствует сертификат электронной подписи.

Решение: Установить сертификат в личный список.

Корректная установка сертификата в личный список происходит из программы криптографии.

1. Для пользователей, использующих VIPNet CSP

Запустить VIPNet CSP — выбрать необходимый контейнер и нажать «Свойства«

9.jpg

В открывшемся окне свойств контейнера необходимо нажать «Открыть» для открытия сертификата электронной подписи.

В сертификате необходимо нажать «Установить сертификат»

В открывшемся мастере импорта сертификатов необходимо выбрать в расположении хранилища «Текущий пользователь» и нажать «Далее»

Затем выбрать «Поместить все сертификаты в следующее хранилище» и нажать «Обзор«. В открывшемся окне выбрать хранилище «Личное» и нажать «ОК«. Завершить установку сертификата.

2. Для пользователей, использующих КриптоПро CSP

Запустить КриптоПро CSP. Для этого необходимо перейти в Пуск — Панель управления — КриптоПро CSP

10.jpg

В открывшемся окне криптопровайдера перейти на вкладку «Сервис» и нажать «Просмотреть сертификат в контейнере. «.

Затем нажать «Обзор» и выбрать необходимый контейнер закрытого ключа.

В открывшемся окне необходимо выбрать необходимый контейнер закрытого ключа и нажать «ОК«

В следующем окне можно сверить данные о выбранного сертификата и нажать «Установить«.

После чего появиться окно, свидетельствующее о том, что сертификат установлен в хранилище «Личные» текущего пользователя.

После установки сертификат появится в хранилище «Личные» в свойствах браузера.

После установки сертификата в хранилище «Личные» ошибка не воспроизводится.

Также вам может быть интересно:

Настройка КриптоПРО для работы с 1С-ЭДО в Linux

Настройка КриптоПРО для работы с 1С-ЭДО в macOS

Нет доступного сертификата для подписания документов.

Ваша проблема решена?

Ваше сообщение отправлено.

Как разблокировать eToken

В случае, если пользователем был несколько раз введен неверный пароль, eToken может быть заблокирован. Для разблокировки eToken необходимо выполнить следующие действия:

1. Запустите программу eToken PKI Client (при необходимости установите программу)

2. Выберите считыватель eToken, затем нажмите «Показать подробный вид»

3. Нажмите на кнопку «Вход с правами Администратора»

/themes/custom/itcom/img/img_old/22.jpg

Если кнопка «Вход с правами администратора» не активна, то пароль администратора не задан и разблокировка устройства невозможна!

4. Введите пароль Администратора, затем нажмите «ОК». По умолчанию на eToken должен быть установлен пароль администратора 1234567890

/themes/custom/itcom/img/img_old/32.jpg

5. Если пароль Администратора был введен правильно, должно появиться сообщение «Выполнен вход с правами Администратора»

/themes/custom/itcom/img/img_old/41.jpg

6. Затем нажмите на кнопку «Установить пароль пользователя»

/themes/custom/itcom/img/img_old/51.jpg

7. Задайте новый пароль и нажмите «ОК» (настоятельно рекомендуем указывать пароль по умолчанию 1234567890)

/themes/custom/itcom/img/img_old/61.jpg

8. Если все действия были выполнены верно, должно появиться сообщение:

/themes/custom/itcom/img/img_old/71.jpg

Ваш eToken успешно разблокирован.

Остались вопросы?

Отдел технической поддержки

тел.: 8 (800) 333-91-03, доб. 2400
email: otp@itcomgk.ru

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *