アカウント名:
パスワード:
CSRF によるリスクは、単一アクションを実行されちゃうくらいで、最悪でもアカウント消される程度。
hidden にセッション鍵を入れるような対策は間違っていると言えるはず。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
定量的評価頼む (スコア:0)
定性的な話だと、声の大きい方、小難しいクラック法より分かりやすい方が勝っちゃいます。そして反論は人格攻撃で却下される(つーか名誉毀損ちらつかされてる。なんて未熟な業界だ)。
特に金床氏はセッション鍵を hidden に入れる潜在的リスクを言いたいようだから、CSSXSS なんて出さずともそういう攻め方でできるはずなのに。
CSRF によるリスクは
Re:定量的評価頼む (スコア:0)
Re:定量的評価頼む (スコア:0)
また定性的な反論。
セッション乗っ取られて金銭的被害が出るサイトと同じくらいあるのかどうかを言わない。
>> hidden にセッション鍵を入れるような対策は間違っていると言えるはず。
>とりあえずこんなずさんな理論では言えませんね。
そうですね。杜撰であることは認めます。
でも言いたいのは定量的な話をしようということですよ。そこスルーしないでね。
Re:定量的評価頼む (スコア:0)
> また定性的な反論。
> セッション乗っ取られて金銭的被害が出るサイトと同じ
> くらいあるのかどうかを言わない。
よく考えてみると同じですね。
セッションハイジャックで金銭被害が出る画面のすべては、
CSRFによっても同じ被害が出せる。(必要なCSRF対策が無効な状態になっているとき)