投稿順表示 (98/282)
前のページ 1...93/94/95/96/97/98/99/100/101/102/103...282 次のページ
[3952] Re: 「Refererを捏造「させる」方法?」
えむけい (2006年11月8日 22時18分)
>>ていうかスクリプトで任意のRefererを追加できるのですか?
>
> そこは勢いだけです。ActiveX だけ無効で良いですね。
対策案がIE向けに最適化されているのが気になりますが、Netscapeプラグイン版のFlash Playerも、少なくともWindowsのFirefox上で動作している場合にはしっかり攻略可能なようです。
[3951] Re: 「Refererを捏造「させる」方法?」
iwaim (2006年11月8日 14時32分)
>http://www.tdiary.org/20050720.html
>>・HTTPのPOSTメソッドが使われていることをチェック
>>・Refererが正当なURLであることをチェック
>>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック
>
> と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。
Refererチェックが対策になってないのだから対策として挙げることがあまり意味がないのではないかなぁ。まあ、論点ずれますけども。
[3950] Re: 「Flash で HTTP 要求ヘッダを改竄する話」
ばけら (2006年11月8日 11時51分)
>脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか?
攻撃者が知りえない値を送信させる、というタイプの対策は HTTP要求ヘッダの改竄では突破できないので、問題の Flash の脆弱性の影響は受けないはずです。セッション追跡パラメータを hidden で渡す方法 (いわゆる高木方式)や、旧パスワードを入力させる方法などですね。
もちろん、今挙げられている問題以外に脆弱性があるという話であれば、そういった対策が突破される可能性もあります。
[3949] Re: 「Flash で HTTP 要求ヘッダを改竄する話」
名無し (2006年11月8日 2時33分)
脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか?
[3948] Re: 「Flash で HTTP 要求ヘッダを改竄する話」
ばけら (2006年11月8日 2時31分)
>http://www.rapid7.com/advisories/R7-0026.jsp
>(セキュリティホールmemo経由)
>Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。
情報どうもです。
であれば、ウェブアプリケーション側の処理として Refererチェックが 根本的に駄目という話ではなくて、
・脆弱性がある Flash を使っていると危険なので(当たり前)、アップデートか提供され次第アップデートすることが望ましい。
・ウェブアプリケーション側で脆弱な Flash を使っているユーザに配慮するのであれば、Refererチェックのみに依存した CSRF 対策は望ましくない。
……という感じになりますね。
[3947] Re: 「Flash で HTTP 要求ヘッダを改竄する話」
えむけい (2006年11月8日 0時31分)
元の advisory とはこれでしょうか?
http://www.rapid7.com/advisories/R7-0026.jsp
(セキュリティホールmemo経由)
Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。
[3945] Re: 「Flash で HTTP 要求ヘッダを改竄する話」
通りすがりの者 (2006年11月7日 16時18分)
脆弱性でしょう。referrer に限らず、これができるならもっと危険なことができるわけですから。元の advisory にそう書いてありますよね?
[3944] Re: 「base要素でいろいろ」
ばけら (2006年11月7日 15時32分)
>IEBlog : All your <base> are belong to us
>http://blogs.msdn.com/ie/archive/2005/08/29/457667.aspx
>というわけでIE6以前はbase要素が空要素ではないという謎仕様だったようです。
情報ありがとうございます。
IE7 で変更されたわけですね。
[3942] Re: 「Refererを捏造「させる」方法?」
ばけら (2006年11月7日 14時49分)
>その某対策の新版は方向転換したそうで。
>http://www.freeml.com/message/seasurfers@freeml.com/0000303
方向転換されていますね。ただ、
>リファラーはCSRF対策では使用するべきでない。
って、これだけ書かれても、以前の説明を読んでいない人には何のことやら分からないと思うのですが……。
また、tDiary のように
http://www.tdiary.org/20050720.html
>・HTTPのPOSTメソッドが使われていることをチェック
>・Refererが正当なURLであることをチェック
>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック
と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。
# 不可であると言っているのでしょうか?
[3941] Re: 「Refererを捏造「させる」方法?」
ばけら (2006年11月7日 14時33分)
>ていうかスクリプトで任意のRefererを追加できるのですか?
そこは勢いだけです。ActiveX だけ無効で良いですね。
[3939] Re: 「Xboxは買わないけど」
fr (2006年11月7日 10時30分)
>何で皆さん、BDPlayerの値段上限設定が発生した、という読み方をしない のかが謎です。
むしろなんでそういう読みをしたのか謎です^^;
ブルーレイプレイヤー欲しさにPS3買おうと思ってる人はほとんどいないんじゃないんですかね?
PS2の頃は、DVDへのスライドが安価に可能だったから普及したわけですけど、今回はブルーレイも普及するかどうかもわからない状況ですからね。
今のPS3ではあくまで1ゲーム機としてしか見られていない気がします。
まぁブルーレイのプレイヤーが欲しいって人なら話は別ですが。
[3937] Re: 「Refererを捏造「させる」方法?」
えむけい (2006年11月7日 0時39分)
> ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。
しかしCSSXSS対策とか称してhiddenフィールドにスクリプトで値を突っ込まれちゃったりなんかするともうあっちを立てればこっちが立たず状態でどうしようもありません。某「正しいCSRF対策」の初版にもそんな方法が書いてあったような。
ていうかスクリプトで任意のRefererを追加できるのですか? ちなみにXMLHttpRequestはクロスドメインで使えないので、攻撃者が攻撃対象のサイトと同じドメインでWebページをホストできるとか攻撃対象のサイトにXSSがあるとか攻撃対象のWebサーバーに侵入してページを書き換えたとかブラウザにバグがあるとかの条件が成立しないと役に立ちません。
どうでもいいですが
>> となるとCSRF対策のひとつの「正しいリファラーは許可する」というアプローチも危険ということになります。
正しいRefererも正しくないRefererもRefererなしも弾けば確かに完璧に安全ですね【謎】。
[3936] Re: 用語「CSRF」
えむけい (2006年11月6日 23時41分)
> ※2006-04-02追記: 上記リンク先は閉鎖されたようです。現時点では該当のGoogleキャッシュ (72.14.203.104) で読むことが可能ですが、それもじき消滅するかと思われます。
復活してます。
[3935] Re: 「Refererを捏造「させる」方法?」
名無し (2006年11月6日 18時21分)
http://jvn.jp/jp/JVN%2331226748/index.html
これ関係じゃないですか?
[3934] Re: 「base要素でいろいろ」
作家水無月ばけらの一ファン (2006年11月6日 2時55分)
IEBlog : All your <base> are belong to us
というわけでIE6以前はbase要素が空要素ではないという謎仕様だったようです。
