[3942] Re: 「Refererを捏造「させる」方法?」

記事個別表示 (3942)

これは「Refererを捏造「させる」方法? | 水無月ばけらのえび日記」に関連するコメントです。

[3942] Re: 「Refererを捏造「させる」方法?」

ばけら (2006年11月7日 14時49分)

>その某対策の新版は方向転換したそうで。

>http://www.freeml.com/message/seasurfers@freeml.com/0000303

　方向転換されていますね。ただ、

>リファラーはCSRF対策では使用するべきでない。

　って、これだけ書かれても、以前の説明を読んでいない人には何のことやら分からないと思うのですが……。

　また、tDiary のように

http://www.tdiary.org/20050720.html

>・HTTPのPOSTメソッドが使われていることをチェック

>・Refererが正当なURLであることをチェック

>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック

　と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。

# 不可であると言っているのでしょうか?

これは「水無月ばけらのえび日記 : Refererを捏造「させる」方法?」に関連するコメントです。
全読: [3935]Re: 「Refererを捏造「させる」方法?」からのスレッド(8件)]
- [3935] Re: 「Refererを捏造「させる」方法?」 : 名無し (2006年11月6日 18時21分)
  - [3937] Re: 「Refererを捏造「させる」方法?」 : えむけい (2006年11月7日 0時39分)
    - [3941] Re: 「Refererを捏造「させる」方法?」 : ばけら (2006年11月7日 14時33分)
      - [3952] Re: 「Refererを捏造「させる」方法?」 : えむけい (2006年11月8日 22時18分)
  - [3938] Re: 「Refererを捏造「させる」方法?」 : 名無し (2006年11月7日 5時29分)
    - [3942] Re: 「Refererを捏造「させる」方法?」 : ばけら (2006年11月7日 14時49分)
      - [3951] Re: 「Refererを捏造「させる」方法?」 : iwaim (2006年11月8日 14時32分)
  - [3943] Re: 「Refererを捏造「させる」方法?」 : 名無し (2006年11月7日 14時57分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>その某対策の新版は方向転換したそうで。 >>http://www.freeml.com/message/seasurfers@freeml.com/0000303 > >　方向転換されていますね。ただ、 > >>リファラーはCSRF対策では使用するべきでない。 > >　って、これだけ書かれても、以前の説明を読んでいない人には何のことやら分からないと思うのですが……。 >　また、tDiary のように > >http://www.tdiary.org/20050720.html >>・HTTPのPOSTメソッドが使われていることをチェック >>・Refererが正当なURLであることをチェック >>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック > >　と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。 ># 不可であると言っているのでしょうか?

新生鳩丸掲示板♯

記事個別表示 (3942)

[3942] Re: 「Refererを捏造「させる」方法?」