[5122] Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」

bakera.jp > 新生鳩丸掲示板♯ > [5122] Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」

記事個別表示 (5122)

これは「セキュアなPHPアプリケーションを作成するための7つの習慣 | 水無月ばけらのえび日記」に関連するコメントです。

[5122] Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」

りゅう (2008年11月6日 9時55分)

個人的にものすごく気になったのはこの部分です。

> フォーム・スプーフィングを制限するためには、投稿者が本人であるらしいということを確実にする手段を講じる必要があります。そのために使用できる 1 つの手法として、1 回しか使用できないトークンを使う方法があります。1 回限りのトークンを使う場合であってもフォーム・スプーフィングは不可能ではありませんが、フォーム・スプーフィングを非常に行いにくくすることができます。

確かにウェブ上に偽のフォームを用意するのは難しくなったかもしれませんが、パラメータタンパリングには相変わらず弱いままなのはいかがなものでしょうか。ちゃんとラジオボタン等であっても入力チェックを行うよう奨めてほしいものです。しかもトークンによる防御はCSRF対策ではなく、こっちの方が主な利用場面のように書かれているのがさらにあれげです。

これは「水無月ばけらのえび日記 : セキュアなPHPアプリケーションを作成するための7つの習慣」に関連するコメントです。
全読: [5122]Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」からのスレッド(1件)]
- [5122] Re:「セキュアなPHPアプリケーションを作成するための7つの習慣」 : りゅう (2008年11月6日 9時55分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >個人的にものすごく気になったのはこの部分です。 > >> フォーム・スプーフィングを制限するためには、投稿者が本人であるらしいということを確実にする手段を講じる必要があります。そのために使用できる 1 つの手法として、1 回しか使用できないトークンを使う方法があります。1 回限りのトークンを使う場合であってもフォーム・スプーフィングは不可能ではありませんが、フォーム・スプーフィングを非常に行いにくくすることができます。 > >確かにウェブ上に偽のフォームを用意するのは難しくなったかもしれませんが、パラメータタンパリングには相変わらず弱いままなのはいかがなものでしょうか。ちゃんとラジオボタン等であっても入力チェックを行うよう奨めてほしいものです。しかもトークンによる防御はCSRF対策ではなく、こっちの方が主な利用場面のように書かれているのがさらにあれげです。