アカウント名:
パスワード:
ここではあまり触れられませんでしたが、掲示板などの会員制でないWebページでのCSRF対策についてです。
例として掲示板を取り上げ、掲示板の投稿フォームを (1)、掲示板の投稿処理を行うページ(フォームの送信先)を (2) とします。
まず、よくやりそうで駄目な対策から、
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]でも指摘されていますが、 セッションIDやワンタイムトークンをFORMのhiddenに含めて対策を行うと、攻撃者がソケット通信などで (1) のワンタイムトークンを取得して、罠ページのhidden情報にそ
クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]を良くお読みください。
不適切な解説の例 ログインなしのWebアプリケーションに対するCSRF攻撃(掲示板荒らし)を防止するには、セッションIDやワンタイムトークンを使えばよい。*6 *6 Session Fixation攻撃によって回避される。
ログインなしのWebアプリケーションに対するCSRF攻撃(掲示板荒らし)を防止するには、セッションIDやワンタイムトークンを使えばよい。*6
*6 Session Fixation攻撃によって回避される。
このように「ログインなしのWebアプリケーションに対するCSRF攻撃」について書かれており、 それを参考にしたことを、
> 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]でも指摘されていますが、
と表記しました。 ちなみに「高木方式」という言葉は一切使っていません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
掲示板などの会員制で無いWebページでのCSRF対策 (スコア:1)
ここではあまり触れられませんでしたが、掲示板などの会員制でないWebページでのCSRF対策についてです。
例として掲示板を取り上げ、掲示板の投稿フォームを (1)、掲示板の投稿処理を行うページ(フォームの送信先)を (2) とします。
まず、よくやりそうで駄目な対策から、
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]でも指摘されていますが、
セッションIDやワンタイムトークンをFORMのhiddenに含めて対策を行うと、攻撃者がソケット通信などで (1) のワンタイムトークンを取得して、罠ページのhidden情報にそ
Re:掲示板などの会員制で無いWebページでのCSRF対策 (スコア:0)
そもそも「高木方式」は会員制でないWebアプリケーションを対象にしていないわけだが。
なんでこうも前提条件を(読まない|読めない)奴ばっかなの?
Re:掲示板などの会員制で無いWebページでのCSRF対策 (スコア:1)
> なんでこうも前提条件を(読まない|読めない)奴ばっかなの?
クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]を良くお読みください。
このように「ログインなしのWebアプリケーションに対するCSRF攻撃」について書かれており、 それを参考にしたことを、
> 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]でも指摘されていますが、
と表記しました。
ちなみに「高木方式」という言葉は一切使っていません。