[3948] Re: 「Flash で HTTP 要求ヘッダを改竄する話」

記事個別表示 (3948)

これは「水無月ばけらのえび日記 : Flash で HTTP 要求ヘッダを改竄する話」に関連するコメントです。

[3948] Re: 「Flash で HTTP 要求ヘッダを改竄する話」

ばけら (2006年11月8日 2時31分)

>http://www.rapid7.com/advisories/R7-0026.jsp

>(セキュリティホールmemo経由)

>Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。

　情報どうもです。

　であれば、ウェブアプリケーション側の処理として Refererチェックが根本的に駄目という話ではなくて、

・脆弱性がある Flash を使っていると危険なので(当たり前)、アップデートか提供され次第アップデートすることが望ましい。

・ウェブアプリケーション側で脆弱な Flash を使っているユーザに配慮するのであれば、Refererチェックのみに依存した CSRF 対策は望ましくない。

　……という感じになりますね。

これは「水無月ばけらのえび日記 : Flash で HTTP 要求ヘッダを改竄する話」に関連するコメントです。
全読: [3945]Re: 「Flash で HTTP 要求ヘッダを改竄する話」からのスレッド(5件)]
- [3945] Re: 「Flash で HTTP 要求ヘッダを改竄する話」 : 通りすがりの者 (2006年11月7日 16時18分)
  - [3947] Re: 「Flash で HTTP 要求ヘッダを改竄する話」 : えむけい (2006年11月8日 0時31分)
    - [3948] Re: 「Flash で HTTP 要求ヘッダを改竄する話」 : ばけら (2006年11月8日 2時31分)
  - [3949] Re: 「Flash で HTTP 要求ヘッダを改竄する話」 : 名無し (2006年11月8日 2時33分)
    - [3950] Re: 「Flash で HTTP 要求ヘッダを改竄する話」 : ばけら (2006年11月8日 11時51分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >>http://www.rapid7.com/advisories/R7-0026.jsp >>(セキュリティホールmemo経由) >>Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。 > >　情報どうもです。 >　であれば、ウェブアプリケーション側の処理として Refererチェックが根本的に駄目という話ではなくて、 > >・脆弱性がある Flash を使っていると危険なので(当たり前)、アップデートか提供され次第アップデートすることが望ましい。 >・ウェブアプリケーション側で脆弱な Flash を使っているユーザに配慮するのであれば、Refererチェックのみに依存した CSRF 対策は望ましくない。 > >　……という感じになりますね。

新生鳩丸掲示板♯

記事個別表示 (3948)

[3948] Re: 「Flash で HTTP 要求ヘッダを改竄する話」