How can it be fixed? Well, there are a couple of ways to stop it, but the easiest (in PHP at least) seems to be to have most of the variables used by scripts be used through $HTTP_POST_VARS. So instead of checking for $action in a script, $HTTP_POST_VARS['action'] would be checked. This forces the user to use a POST request
ちゃんと調べているね (スコア:1, 参考になる)
その通り。オープンソースに限らずセキュリティでも日本はガラパゴス諸島化しているんです、とか書くとまた叩かれるのかな。基本的に彼の書いているのは、日本以外でよく見かけるドキュメントと基本的にかわりませんが、有用であることは確かであり、いずれにしてもよく調べていると思います。
Re:ちゃんと調べているね (スコア:3, 参考になる)
CSRF が最初に Bugtraq に出たときから sessionid を POST に入れる話は出てましたよ。
The Dangers of Allowing Users to Post Images (Cross-Site Request Forgeries) 17 Jun. 2001 [securiteam.com]
Re:ちゃんと調べているね (スコア:0)
Re:ちゃんと調べているね (スコア:0)
たとえばどこにありますか?
Re:ちゃんと調べているね (スコア:0)
というか後者はブラウザ修正待ちなだけでは?
Re:ちゃんと調べているね (スコア:0)
ほとんど話題になっていないようです。
Re:ちゃんと調べているね (スコア:0)
Re:ちゃんと調べているね (スコア:0)
Re:ちゃんと調べているね (スコア:0)
37~39件が英語、198000件が日本語という結果を受けて、
「CSSXSS自体が欧米・英語圏では殆ど話題にされていない」と言うコメントがあって、
「CSSXSSという言葉以外で欧米・英語圏では話題にされているのでは?」というレスでしょ。
37件が英語で使われていると返すのはループするだけ。
返すとしたら、CSSXSS以外で話題になっているかどうかについてかな。