minor fixes

Author: iliakan

99-archive/126-csrf/article.md

@@ -38,14 +38,16 @@ archive:
 
 Иначе говоря, куки не гарантируют, что форму создал именно Вася. Они только удостоверяют личность, но не данные.
 
-Типичный способ защиты сайтов -- это "секретный ключ" (`secret`), специальное значение, которое генерируется случайным образом и сохраняется в сессии посетителя. Его знает только сервер, посетителю мы его даже не будем показывать.
+Типичный способ защиты сайтов -- это "секретный ключ" (`secret`), специальное значение, которое генерируется случайным образом при авторизации и сохраняется в сессии посетителя. Его знает только сервер, посетителю мы его даже не будем показывать.
 
-Затем на основе ключа генерируется "токен" (`token`). Токен делается так, чтобы с одной стороны он был отличен от ключа, в частности, может быть много токенов для одного ключа, с другой -- чтобы было легко проверить по токену, сгенерирован ли он на основе данного ключа или нет.
+Разумеется, для разных посетителей `secret` будет разным.
 
-Для каждого токена нужно дополнительное случайное значение, которое называют "соль" `salt`.
+Затем на основе ключа генерируется "токен" (`token`). Токен делается так, чтобы с одной стороны он был отличен от ключа `secret`, в частности, может быть много токенов для одного ключа, с другой -- чтобы было легко проверить по токену, сгенерирован ли он на основе данного ключа или нет.
+
+Для этого для каждого токена используется дополнительное случайное значение, которое называют "соль" `salt`.
 
 Формула вычисления токена:
-```
+```js
 token = salt + ":" + MD5(salt + ":" + secret)
 ```
 
@@ -55,9 +57,9 @@ token = salt + ":" + MD5(salt + ":" + secret)
 2. Для нового токена сгенерируем `salt`, например пусть `salt="1234"`.
 3. `token = "1234" + ":" + MD5("1234" + ":" + "abcdef") = "1234:5ad02792a3285252e524ccadeeda3401"`.
 
-Это значение -- с одной стороны, случайное, с другой -- имея такой `token`, мы можем взять его первую часть `1234` в качестве `salt` и, зная `secret`, проверить по формуле, верно ли он вычислен.
+Это значение -- с одной стороны, случайное, с другой -- получив такой `token` от пользователя, мы можем его проверить: разбить по символу двоеточия, взять его левую часть `1234` в качестве `salt` и, зная `secret`, запустить вычисление по формуле выше. Если мы получили то же самое, то `token` правильный, это не хакер.
 
-Не зная `secret`, невозможно сгенерировать token, который сервер воспримет как правильный.
+Обратим внимание: не зная `secret`, невозможно сгенерировать `token`, который сервер воспримет как правильный.
 
 Далее, токен добавляется в качестве скрытого поля к каждой форме, генерируемой на сервере.
 
@@ -126,4 +128,3 @@ token = salt + ":" + MD5(salt + ":" + secret + ":" + fields.money)
 - Для защиты от атаки формы, которые генерирует `mail.com`, подписываются специальным токеном. Можно подписывать не все формы, а только те, которые осуществляют действия от имени посетителя, то есть могут служить объектом атаки.
 - Для подписи XMLHttpRequest токен дополнительно записывается в куку. Тогда JavaScript с домена `mail.com` сможет прочитать её и добавить в заголовок, а сервер -- проверить, что заголовок есть и содержит корректный токен.
 - Динамически сгенерированные формы подписываются аналогично: токен из куки добавляется как URL-параметр или дополнительное поле.
-