[3937] Re: 「Refererを捏造「させる」方法?」

記事個別表示 (3937)

これは「水無月ばけらのえび日記 : Refererを捏造「させる」方法?」に関連するコメントです。

[3937] Re: 「Refererを捏造「させる」方法?」

えむけい (2006年11月7日 0時39分)

> ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。

しかしCSSXSS対策とか称してhiddenフィールドにスクリプトで値を突っ込まれちゃったりなんかするともうあっちを立てればこっちが立たず状態でどうしようもありません。某「正しいCSRF対策」の初版にもそんな方法が書いてあったような。

ていうかスクリプトで任意のRefererを追加できるのですか? ちなみにXMLHttpRequestはクロスドメインで使えないので、攻撃者が攻撃対象のサイトと同じドメインでWebページをホストできるとか攻撃対象のサイトにXSSがあるとか攻撃対象のWebサーバーに侵入してページを書き換えたとかブラウザにバグがあるとかの条件が成立しないと役に立ちません。

どうでもいいですが

>> となるとCSRF対策のひとつの「正しいリファラーは許可する」というアプローチも危険ということになります。

正しいRefererも正しくないRefererもRefererなしも弾けば確かに完璧に安全ですね【謎】。

これは「水無月ばけらのえび日記 : Refererを捏造「させる」方法?」に関連するコメントです。
全読: [3935]Re: 「Refererを捏造「させる」方法?」からのスレッド(8件)]
- [3935] Re: 「Refererを捏造「させる」方法?」 : 名無し (2006年11月6日 18時21分)
  - [3937] Re: 「Refererを捏造「させる」方法?」 : えむけい (2006年11月7日 0時39分)
    - [3941] Re: 「Refererを捏造「させる」方法?」 : ばけら (2006年11月7日 14時33分)
      - [3952] Re: 「Refererを捏造「させる」方法?」 : えむけい (2006年11月8日 22時18分)
  - [3938] Re: 「Refererを捏造「させる」方法?」 : 名無し (2006年11月7日 5時29分)
    - [3942] Re: 「Refererを捏造「させる」方法?」 : ばけら (2006年11月7日 14時49分)
      - [3951] Re: 「Refererを捏造「させる」方法?」 : iwaim (2006年11月8日 14時32分)
  - [3943] Re: 「Refererを捏造「させる」方法?」 : 名無し (2006年11月7日 14時57分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >> ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。 >しかしCSSXSS対策とか称してhiddenフィールドにスクリプトで値を突っ込まれちゃったりなんかするともうあっちを立てればこっちが立たず状態でどうしようもありません。某「正しいCSRF対策」の初版にもそんな方法が書いてあったような。 >ていうかスクリプトで任意のRefererを追加できるのですか? ちなみにXMLHttpRequestはクロスドメインで使えないので、攻撃者が攻撃対象のサイトと同じドメインでWebページをホストできるとか攻撃対象のサイトにXSSがあるとか攻撃対象のWebサーバーに侵入してページを書き換えたとかブラウザにバグがあるとかの条件が成立しないと役に立ちません。 > >どうでもいいですが >>> となるとCSRF対策のひとつの「正しいリファラーは許可する」というアプローチも危険ということになります。 >正しいRefererも正しくないRefererもRefererなしも弾けば確かに完璧に安全ですね【謎】。

新生鳩丸掲示板♯

記事個別表示 (3937)

[3937] Re: 「Refererを捏造「させる」方法?」