パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

正しいCSRF対策、してますか?」記事へのコメント

  • ここではあまり触れられませんでしたが、掲示板などの会員制でないWebページでのCSRF対策についてです。

    例として掲示板を取り上げ、掲示板の投稿フォームを (1)、掲示板の投稿処理を行うページ(フォームの送信先)を (2) とします。

    まず、よくやりそうで駄目な対策から、

    • by Anonymous Coward on 2006年04月04日 1時20分 (#914714)
      > 掲示板などの会員制でないWebページ
      そもそも「高木方式」は会員制でないWebアプリケーションを対象にしていないわけだが。
      なんでこうも前提条件を(読まない|読めない)奴ばっかなの?
      親コメント
      • > そもそも「高木方式」は会員制でないWebアプリケーションを対象にしていないわけだが。
        > なんでこうも前提条件を(読まない|読めない)奴ばっかなの?

        クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]を良くお読みください。

        不適切な解説の例

        ログインなしのWebアプリケーションに対するCSRF攻撃(掲示板荒らし)を防止するには、セッションIDやワンタイムトークンを使えばよい。*6

        *6 Session Fixation攻撃によって回避される。

        このように「ログインなしのWebアプリケーションに対するCSRF攻撃」について書かれており、 それを参考にしたことを、

        > 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 [takagi-hiromitsu.jp]でも指摘されていますが、

        と表記しました。
        ちなみに「高木方式」という言葉は一切使っていません。

        親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...