水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > CSRF と Cookie 漏洩は関係ない

CSRF と Cookie 漏洩は関係ない

2007年11月30日(金曜日)

CSRF と Cookie 漏洩は関係ない

404 Blog Not Found : Immortal Session の恐怖 (blog.livedoor.jp)」という話。

そしてcookieを奪うのがどれほど簡単かというのは、CSRFの事例が後をたたないことからも伺い知ることができる。

うーむ、CSRFの理解って結構浸透してきたと思っていたのですが、そうでもないようで……。

CSRF は Cookie を奪取してセッションハイジャックするような攻撃ではなく、攻撃者は Cookie の値を知る必要がありません。また、CSRF 攻撃によって攻撃者が Cookie を奪取することもできません。もちろん、別途 XSS があったりすれば Cookie を奪取できる余地がありますが、それは XSS による漏洩ということになるでしょう。

それから、User-Agent の一致チェックは対策としては不十分です。というのも、CSRF では原理上 User-Agent が一致するに決まっていますし、Cookie 奪取を想定するなら、攻撃者が User-Agent を一致させることは容易なはずです (攻撃者が Cookie を奪取できるが User-Agent の値は取れない、という状況は考えにくいので)。まあ、チェックしても害はないので、「念のため」としてチェックを導入しても良いと思いますが……。

また、IP アドレスの一致チェックについても、NAT やらなにやらで複数端末が同一 IP アドレスになるとか、逆にゲートウェイが複数 IP アドレスを持つために同一端末でもアクセスごとに IP アドレスが異なる、という事が起こり得ます。特に後者の場合は正規の利用者がアクセス不能になってしまう場合がありますので、こちらは「念のため」として導入するのにも注意が必要でしょう。

ちなみに秋のDK収穫祭 (side2.net)によると、

そんなこと言われたって、その抜かれてしまったパスワードはkogaidanだったわけですよ。

……だそうで、そもそも Cookie とか CSRF とかあんまり関係ない話だったようです。

関連する話題: Web / セキュリティ / CSRF / CSRFではない

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト