「Flash で HTTP 要求ヘッダを改竄する話」へのコメント

通りすがりの者 (2006年11月7日 16時18分)

脆弱性でしょう。referrer に限らず、これができるならもっと危険なことができるわけですから。元の advisory にそう書いてありますよね?

えむけい (2006年11月8日 0時31分)

元の advisory とはこれでしょうか?

(セキュリティホールmemo経由)

Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。

ばけら (2006年11月8日 2時31分)

>(セキュリティホールmemo経由)

>Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。

　情報どうもです。

　であれば、ウェブアプリケーション側の処理として Refererチェックが根本的に駄目という話ではなくて、

・脆弱性がある Flash を使っていると危険なので(当たり前)、アップデートか提供され次第アップデートすることが望ましい。

・ウェブアプリケーション側で脆弱な Flash を使っているユーザに配慮するのであれば、Refererチェックのみに依存した CSRF 対策は望ましくない。

　……という感じになりますね。

名無し (2006年11月8日 2時33分)

脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか？

ばけら (2006年11月8日 11時51分)

>脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか？

　攻撃者が知りえない値を送信させる、というタイプの対策は HTTP要求ヘッダの改竄では突破できないので、問題の Flash の脆弱性の影響は受けないはずです。セッション追跡パラメータを hidden で渡す方法 (いわゆる高木方式)や、旧パスワードを入力させる方法などですね。

　もちろん、今挙げられている問題以外に脆弱性があるという話であれば、そういった対策が突破される可能性もあります。

「水無月ばけらのえび日記 : Flash で HTTP 要求ヘッダを改竄する話」についてコメントを書く場合は、以下のフォームに記入してください。