[2883] Re: 用語「CSRF」

記事個別表示 (2883)

これは「鳩丸ぐろっさり (用語集) : CSRF」に関連するコメントです。

ばけら (2005年4月28日 12時42分)

>> この方法の問題は、Referer を送出しないブラウザで管理画面が利用できなくなってしまうということです。

>逆に言うとそこまでチェックしないと対策にならないわけですね。

　そういうことです。空の Referer を受け付けてしまうと対策にならないということです。

>> たとえば、ユーザが管理画面にログインするたびにランダムな値を生成して、

>セッションIDはまさにそのような性質を持った値である(はずだ)から車輪を再発明する必要はないということですね。

　ああ、この辺は語弊がありますね。

　通常は Cookie の値としてセッション ID が使われますが、その場合はターゲットのブラウザが自動的に Cookie: を再送してしまうので、攻撃者がこれを予測する必要はそもそもありません。

　そうではなくて、input type="hidden" にランダムな値が入っているような場合は、攻撃者は罠にこの値も含めなくてはなりませんから、攻撃が困難になります。

　この辺の説明は難しいですね。

これは「鳩丸ぐろっさり (用語集) : CSRF」に関連するコメントです。
全読: [2882]Re: 用語「CSRF」からのスレッド(7件)]
- [2882] Re: 用語「CSRF」 : えむけい (2005年4月28日 9時40分)
  - [2883] Re: 用語「CSRF」 : ばけら (2005年4月28日 12時42分)
    - [2884] Re: 用語「CSRF」 : ばけら (2005年4月28日 12時46分)
      - [2889] Re: 用語「CSRF」 : えむけい (2005年4月28日 13時33分)
        [2890] Re: 用語「CSRF」 : ばけら (2005年4月28日 13時51分)
  - [2886] Re: 用語「CSRF」 : ばけら (2005年4月28日 13時20分)
  - [3936] Re: 用語「CSRF」 : えむけい (2006年11月6日 23時41分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>> この方法の問題は、Referer を送出しないブラウザで管理画面が利用できなくなってしまうということです。 >>逆に言うとそこまでチェックしないと対策にならないわけですね。 >　そういうことです。空の Referer を受け付けてしまうと対策にならないということです。 > >>> たとえば、ユーザが管理画面にログインするたびにランダムな値を生成して、 >>セッションIDはまさにそのような性質を持った値である(はずだ)から車輪を再発明する必要はないということですね。 > >　ああ、この辺は語弊がありますね。 >　通常は Cookie の値としてセッション ID が使われますが、その場合はターゲットのブラウザが自動的に Cookie: を再送してしまうので、攻撃者がこれを予測する必要はそもそもありません。 >　そうではなくて、input type="hidden" にランダムな値が入っているような場合は、攻撃者は罠にこの値も含めなくてはなりませんから、攻撃が困難になります。 >　この辺の説明は難しいですね。