Я использую подрядчика для веб-разработки и как часть безопасности панели администратора, он хочет внедрить CSRF.
Я никогда не использовал CSRF, но несколько веб-сайтов используют 2FA. Он сказал, что CSRF позаботится о безопасности, и мне не нужно 2FA.
Я не могу найти статьи, связанные с сравнением CSRF vs 2FA. Не могли бы вы прокомментировать плюсы и минусы Django CSRF против 2FA?
Вы не найдете статей, сравнивающих эти два, потому что они являются полностью ортогональными понятиями.
Защита кросс-сайта (CSRF) - это основное требование безопасности для любого приложения, которое использует файлы cookie для управления сеансом. Злоумышленник может обмануть браузер-жертву, чтобы отправить поддельный запрос, который будет использовать куки-жертвы для аутентификации запроса. Защита CSRF обнаруживает и отклоняет эти поддельные запросы. Невыполнение CSRF-защиты является серьезной проблемой безопасности.
2FA добавляет дополнительный шаг для входа в систему. Если один из факторов (например, пароль) скомпрометирован, злоумышленник все еще не может войти в систему без второго фактора. Даже если сеанс не может быть скомпрометирован атаками CSRF, реализация 2FA повысит безопасность ваших учетных записей пользователей.
Защита CSRF никоим образом не заменяет 2FA.