「セキュアなPHPアプリケーションを作成するための7つの習慣」へのコメント
「水無月ばけらのえび日記 : セキュアなPHPアプリケーションを作成するための7つの習慣」について、1件のコメントが書かれています。
[5122] Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」
りゅう (2008年11月6日 9時55分)
個人的にものすごく気になったのはこの部分です。
> フォーム・スプーフィングを制限するためには、投稿者が本人であるらしいということを確実にする手段を講じる必要があります。そのために使用できる 1 つの手法として、1 回しか使用できないトークンを使う方法があります。1 回限りのトークンを使う場合であってもフォーム・スプーフィングは不可能ではありませんが、フォーム・スプーフィングを非常に行いにくくすることができます。
確かにウェブ上に偽のフォームを用意するのは難しくなったかもしれませんが、パラメータタンパリングには相変わらず弱いままなのはいかがなものでしょうか。ちゃんとラジオボタン等であっても入力チェックを行うよう奨めてほしいものです。しかもトークンによる防御はCSRF対策ではなく、こっちの方が主な利用場面のように書かれているのがさらにあれげです。
「水無月ばけらのえび日記 : セキュアなPHPアプリケーションを作成するための7つの習慣」についてコメントを書く場合は、以下のフォームに記入してください。