記事個別表示 (3950)
これは「Flash で HTTP 要求ヘッダを改竄する話 | 水無月ばけらのえび日記」に関連するコメントです。
[3950] Re: 「Flash で HTTP 要求ヘッダを改竄する話」
ばけら (2006年11月8日 11時51分)
>脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか?
攻撃者が知りえない値を送信させる、というタイプの対策は HTTP要求ヘッダの改竄では突破できないので、問題の Flash の脆弱性の影響は受けないはずです。セッション追跡パラメータを hidden で渡す方法 (いわゆる高木方式)や、旧パスワードを入力させる方法などですね。
もちろん、今挙げられている問題以外に脆弱性があるという話であれば、そういった対策が突破される可能性もあります。
これは「水無月ばけらのえび日記 : Flash で HTTP 要求ヘッダを改竄する話」に関連するコメントです。
全読: [3945]Re: 「Flash で HTTP 要求ヘッダを改竄する話」からのスレッド(5件)]