水無月ばけらのえび日記

CSRFとCSSXSSは分けて議論したい

スラッシュドットに「正しいCSRF対策、してますか？ (slashdot.jp)」というトピックが立っているようですが、議論がかなり混乱しているように思います。「hiddenにセッションIDをセットする CSRF 対策は、CSSXSS があるので危険」という話なのですが、CSRF といわゆる CSSXSS は別の問題ですので、分けて議論したいですね。

簡単に言うと、

• hiddenにセッションIDをセットする方法は、CSRF対策としては正しい
• ただし現在、MSIE には HTML の内容をクロスドメインで読めてしまう脆弱性 (いわゆる CSSXSS) があるため、HTML に秘密情報をセットすることには別の危険がある

ということになります。

• hiddenにセッションIDをセットする方法でも、CSSXSS 対策ができていれば問題ない
• 何であれ、CSSXSS 対策ができていなければ危険

ということです。注意したいのは、いわゆる CSSXSS の問題は CSRF に限った話ではないということです。秘密情報は何であれ、CSSXSS 対策をする必要がある (たとえば、GET で得られる HTML の中に出力しないようにする) という話になります。「セッションID」や「CSRF対策のためのワンタイムトークン」などはもちろん、個人情報の編集画面であるとか、Webメールの画面であるとか、そういった画面もすべて問題になるはずです。CSRF 問題のないサイトだから CSSXSS は関係なさそうだ、と思ってしまったりしないように気をつけたいところです。

※ただ、実際には CSSXSS によって取得できるものは限定されていて、何でも取れるわけではありません。基本的には MSIE が CSS の宣言ブロックの中身であるとみなしたものだけが取れるので、たとえば Webメールの画面の本文全体を取る、といったことができるかというと難しいところです。ただ、攻撃者が {} を挿入することができる余地、多バイト文字の一部が {} に解釈される余地などを考えると、あまり安心できなかったりもします。

個人的には、いわゆる CSSXSS は CSRF とは別の問題としてきちんと議論して欲しいし、もっとクローズアップされても良いと思います。まあ、今回の話で十分に注目されていると思うので、それはそれで良いような気もしますけれど。

ちなみに、CSSXSS に対しては利用者側でできる対策があります。それは、

• MSIE を使う場合、スクリプトを無効にする

ということです。現在知られている CSSXSS の攻撃手法では、攻撃者のサイト上でスクリプトを介して cssText プロパティの値にアクセスすることになります。ですから、スクリプトを無効にしておけば CSSXSS の攻撃は受けません。もちろん、MSIE 必須かつスクリプト必須のサイトは利用できませんので、それについてはパッチ待ちとなります (まあ、そんなサイトそうそうありませんが)。

• 「CSRFとCSSXSSは分けて議論したい」へのコメント (11件)

関連する話題: セキュリティ / CSRF / CSSXSS