記事個別表示 (3942)
これは「水無月ばけらのえび日記 : Refererを捏造「させる」方法?」に関連するコメントです。
[3942] Re: 「Refererを捏造「させる」方法?」
ばけら (2006年11月7日 14時49分)
>その某対策の新版は方向転換したそうで。
>http://www.freeml.com/message/seasurfers@freeml.com/0000303
方向転換されていますね。ただ、
>リファラーはCSRF対策では使用するべきでない。
って、これだけ書かれても、以前の説明を読んでいない人には何のことやら分からないと思うのですが……。
また、tDiary のように
http://www.tdiary.org/20050720.html
>・HTTPのPOSTメソッドが使われていることをチェック
>・Refererが正当なURLであることをチェック
>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック
と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。
# 不可であると言っているのでしょうか?
これは「水無月ばけらのえび日記 : Refererを捏造「させる」方法?」に関連するコメントです。
全読: [3935]Re: 「Refererを捏造「させる」方法?」からのスレッド(8件)]