水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 微妙に誤解されている? CSRF

微妙に誤解されている? CSRF

2005年11月7日(月曜日)

微妙に誤解されている? CSRF

IT Pro でキーワードとして「クロスサイト・リクエスト・フォージェリ (itpro.nikkeibp.co.jp)」が取り上げられていますが……。CSRF の解説というより、「はまちちゃん」の解説になってしまっていますね。

「はまちちゃん」の事例は確かにスクリプトを使っていましたが、CSRF 自体はスクリプトとは関係のない話です。そもそも、「はまちちゃん」のスクリプトも単に自動的に POST させるだけのものです。ボタンを置いておいて押させれば良いだけの話ですし、ボタンをアンカーのように見せることも簡単です。つまり、スクリプト無効でも被害に遭う可能性があるのですが、そこが誤解されていないかちょっと心配ですね。

さらに微妙なのが対策の部分。

クロスサイト・リクエスト・フォージェリは,Webサイト側でセッションをきめ細かく管理することで防げる。処理中のWebページの要所要所でセッションIDを切り換えたり,重要度の高い画面に移るときは改めてパスワードを要求するなどの処理をWebアプリケーションに盛り込めば,手順を飛ばして実行する不正なスクリプトからの処理を排除できる

なんというか、はっきり言って意味がよく分かりませんが……。これで本当に防げるのでしょうか。

関連する話題: セキュリティ / CSRF / ITpro

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングDreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト