水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > セキュアなPHPアプリケーションを作成するための7つの習慣 > 「セキュアなPHPアプリケーションを作成するための7つの習慣」へのコメント

「セキュアなPHPアプリケーションを作成するための7つの習慣」へのコメント

[5122] Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」

りゅう (2008年11月6日 9時55分)

個人的にものすごく気になったのはこの部分です。

> フォーム・スプーフィングを制限するためには、投稿者が本人であるらしいということを確実にする手段を講じる必要があります。そのために使用できる 1 つの手法として、1 回しか使用できないトークンを使う方法があります。1 回限りのトークンを使う場合であってもフォーム・スプーフィングは不可能ではありませんが、フォーム・スプーフィングを非常に行いにくくすることができます。

確かにウェブ上に偽のフォームを用意するのは難しくなったかもしれませんが、パラメータタンパリングには相変わらず弱いままなのはいかがなものでしょうか。ちゃんとラジオボタン等であっても入力チェックを行うよう奨めてほしいものです。しかもトークンによる防御はCSRF対策ではなく、こっちの方が主な利用場面のように書かれているのがさらにあれげです。

新規投稿フォーム

※広告や宣伝の書き込みはご遠慮ください。

:

:

:

最近の日記

関わった本など