開発者のための正しいCSRF対策 - JUMPERZ.NET
金床さん記述によるCSRF対策のドキュメント。今後も継続して更新していくとの事です。
という事で、ザックリ読んでいる真っ最中……。雑感等は後日。
-----
(2006/3/31 17:45頃追記)
上野先生のblogに、対策1を図にしたモノが掲載されていたので、メモ。
やはりこの手の説明は図になっていた方が分かりやすいですね。
(雑文)
"読ませたい人ほど読まない"……類似に「情報は欲しい人の所にしか集まらない(今読んでいる、某本に記されていたフレーズより)」という言葉もありますね。
-----
(2006/4/2 19:45頃追記)
ざっくり読んでみました。
(流石に「正しい対策その1:ワンタイムトークンを正しく使用する方法」は図が無いと遷移状況がイメージし辛かったので、読んでいて閉口したけれど……。何せWebアプリの領域は自分の専門領域外なので……(一応専門は運用の出身という事もあり、運用設計、規格基準(セキュリティ監査系)および教育です)。)
既に幾つか出ている対策案と比較すると、金床さんの対策は現実寄りの前提条件(CSSXSS脆弱性は確かにIEの脆弱性に起因するモノだけれど、現にIEのシェアが殆どを占めている以上、IEにバグがある事を前提にどう対処するか?、という事)かなぁ……と思います。そういう事で言うと、高木先生や水無月先生達が出しているCSRF対策案とは直接比較してはいけないような気がします。
金床さん記述によるCSRF対策のドキュメント。今後も継続して更新していくとの事です。
という事で、ザックリ読んでいる真っ最中……。雑感等は後日。
-----
(2006/3/31 17:45頃追記)
上野先生のblogに、対策1を図にしたモノが掲載されていたので、メモ。
やはりこの手の説明は図になっていた方が分かりやすいですね。
(雑文)
"読ませたい人ほど読まない"……類似に「情報は欲しい人の所にしか集まらない(今読んでいる、某本に記されていたフレーズより)」という言葉もありますね。
-----
(2006/4/2 19:45頃追記)
ざっくり読んでみました。
(流石に「正しい対策その1:ワンタイムトークンを正しく使用する方法」は図が無いと遷移状況がイメージし辛かったので、読んでいて閉口したけれど……。何せWebアプリの領域は自分の専門領域外なので……(一応専門は運用の出身という事もあり、運用設計、規格基準(セキュリティ監査系)および教育です)。)
既に幾つか出ている対策案と比較すると、金床さんの対策は現実寄りの前提条件(CSSXSS脆弱性は確かにIEの脆弱性に起因するモノだけれど、現にIEのシェアが殆どを占めている以上、IEにバグがある事を前提にどう対処するか?、という事)かなぁ……と思います。そういう事で言うと、高木先生や水無月先生達が出しているCSRF対策案とは直接比較してはいけないような気がします。
