水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CSRF 知名度上昇中

CSRF 知名度上昇中

2005年4月23日(土曜日)

CSRF 知名度上昇中

更新: 2005年11月1日

大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? (www.itmedia.co.jp)」という記事が出ています。やはり、CSRF というものを今回初めて知ったという方が多かったということでしょうか。

IPAとJPCERT/CCが4月19日に行った、2005年第1四半期の脆弱性届出状況に関する説明会でも言及されていた。

以上、大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? より

言及されていましたけれど、説明がしょぼくてなんだかよく分からなかった人が多かったのではないでしょうか。基本的に IPA の報告は統計データを報告するのが趣旨で、脆弱性の技術情報詳細が発表されないのは当然ではあるのですが……別途、もっと技術詳細が公開された方が良いだろうと思うのですよね。

そんなこんなで、もう発見者が (具体的なサイト名などは伏せて) 脆弱性の技術的な詳細を積極的に公表するべきではないのか、と思いはじめています。しかし取扱い終了となったものは問題ないとしても、取扱いが終了していないものについては公表できないのが問題です。

※2005年Q1 に IPA に届け出られたという CSRF の問題も、まだ取扱いが終了していません。CSRF はその場で簡単に修正できるような問題ではなく、設計段階から再考しなくてはいけないような問題ですので、対応には時間がかかることが予想されます。取扱いが終わらないと内容について言及することができなかったりしますので、なんとも苦しいところです。

※2005-11-01 追記: 修正されました。CSRF 直った参照。

関連する話題: セキュリティ / CSRF / IPA

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト