[2882] Re: 用語「CSRF」

記事個別表示 (2882)

これは「CSRF | 鳩丸ぐろっさり (用語集)」に関連するコメントです。

えむけい (2005年4月28日 9時40分)

当然ご覧になっていると思いますが、

クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法

http://takagi-hiromitsu.jp/diary/20050427.html#p01

という記事が出ていたので、用語の解説と見比べてみました。

> この方法の問題は、Referer を送出しないブラウザで管理画面が利用できなくなってしまうということです。

逆に言うとそこまでチェックしないと対策にならないわけですね。

> もう一つの方法は、攻撃者が知り得ない値をリクエストに含めておくというものです。

> たとえば、ユーザが管理画面にログインするたびにランダムな値を生成して、

セッションIDはまさにそのような性質を持った値である(はずだ)から車輪を再発明する必要はないということですね。

これは「鳩丸ぐろっさり (用語集) : CSRF」に関連するコメントです。
全読: [2882]Re: 用語「CSRF」からのスレッド(7件)]
- [2882] Re: 用語「CSRF」 : えむけい (2005年4月28日 9時40分)
  - [2883] Re: 用語「CSRF」 : ばけら (2005年4月28日 12時42分)
    - [2884] Re: 用語「CSRF」 : ばけら (2005年4月28日 12時46分)
      - [2889] Re: 用語「CSRF」 : えむけい (2005年4月28日 13時33分)
        [2890] Re: 用語「CSRF」 : ばけら (2005年4月28日 13時51分)
  - [2886] Re: 用語「CSRF」 : ばけら (2005年4月28日 13時20分)
  - [3936] Re: 用語「CSRF」 : えむけい (2006年11月6日 23時41分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >当然ご覧になっていると思いますが、 >クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 >http://takagi-hiromitsu.jp/diary/20050427.html#p01 >という記事が出ていたので、用語の解説と見比べてみました。 > >> この方法の問題は、Referer を送出しないブラウザで管理画面が利用できなくなってしまうということです。 >逆に言うとそこまでチェックしないと対策にならないわけですね。 > >> もう一つの方法は、攻撃者が知り得ない値をリクエストに含めておくというものです。 >> たとえば、ユーザが管理画面にログインするたびにランダムな値を生成して、 >セッションIDはまさにそのような性質を持った値である(はずだ)から車輪を再発明する必要はないということですね。