[2884] Re: 用語「CSRF」

記事個別表示 (2884)

ばけら (2005年4月28日 12時46分)

>　通常は Cookie の値としてセッション ID が使われますが、その場合はターゲットのブラウザが自動的に Cookie: を再送してしまうので、攻撃者がこれを予測する必要はそもそもありません。

>　そうではなくて、input type="hidden" にランダムな値が入っているような場合は、攻撃者は罠にこの値も含めなくてはなりませんから、攻撃が困難になります。

　さらに補足すると、Cookie として使用している値と同じものを hidden 値に含めておき、そちらもチェックするという対策でも大丈夫なはずです (もちろん攻撃者が Cookie を盗めないという前提です。Cookie を盗めたら CSRF 以前の問題なので)。

　そういう意味ではセッション ID とは異なる別のランダム値をあらためて用意する必要は無いので、車輪の再発明は必要ないともいえます。

これは「鳩丸ぐろっさり (用語集) : CSRF」に関連するコメントです。
全読: [2882]Re: 用語「CSRF」からのスレッド(7件)]
- [2882] Re: 用語「CSRF」 : えむけい (2005年4月28日 9時40分)
  - [2883] Re: 用語「CSRF」 : ばけら (2005年4月28日 12時42分)
    - [2884] Re: 用語「CSRF」 : ばけら (2005年4月28日 12時46分)
      - [2889] Re: 用語「CSRF」 : えむけい (2005年4月28日 13時33分)
        [2890] Re: 用語「CSRF」 : ばけら (2005年4月28日 13時51分)
  - [2886] Re: 用語「CSRF」 : ばけら (2005年4月28日 13時20分)
  - [3936] Re: 用語「CSRF」 : えむけい (2006年11月6日 23時41分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>　通常は Cookie の値としてセッション ID が使われますが、その場合はターゲットのブラウザが自動的に Cookie: を再送してしまうので、攻撃者がこれを予測する必要はそもそもありません。 >>　そうではなくて、input type="hidden" にランダムな値が入っているような場合は、攻撃者は罠にこの値も含めなくてはなりませんから、攻撃が困難になります。 > >　さらに補足すると、Cookie として使用している値と同じものを hidden 値に含めておき、そちらもチェックするという対策でも大丈夫なはずです (もちろん攻撃者が Cookie を盗めないという前提です。Cookie を盗めたら CSRF 以前の問題なので)。 > >　そういう意味ではセッション ID とは異なる別のランダム値をあらためて用意する必要は無いので、車輪の再発明は必要ないともいえます。