★阿修羅♪ 現在地 HOME > 掲示板 > IT7 > 307.html
 ★阿修羅♪
次へ 前へ
いま管理板で話題のリファラー(Referrer)を調べてみました。
http://www.asyura2.com/0411/it07/msg/307.html
投稿者 元SEのおじさん 日時 2005 年 1 月 28 日 23:28:14:W0dUExWAHOi7M
 

ィンドウからの操作への対策

 JavaScriptを利用して他のフレームやウィンドウから操作される事への考慮も必要です。

 たとえば隠れフレームやポップアップ広告を装ったウィンドウ等に標的サイトを表示し、JavaScriptによってユーザーが実際操作しているかのように画面遷移させるといった攻撃手段が考えられます。
 これをやられるとリファラーチェックもhiddenタグに埋め込んだワンタイムトークンも意味がありません。

 これに対してはJavaScriptでフレームやウィンドウの情報を取得してチェックをかけることで対策できると思います。
 その際にJavaScriptがOFFになっているユーザーが操作不能になってしまわないよう注意してください。

必ずユーザーからの入力を求める

 重要な操作を確定する前に必ずユーザーの入力を求めます。
 ユーザーの利便性はある程度損なわれますが、CSRFに対してはかなり有効なガードとなります。

 たとえばユーザーのIDとパスワードや画面に画像として表示したワンタイムトークンの入力を求めるとか言った手法は、実際にオークションサイトやネットバンキングで実装されています。

 金銭の移動が発生する操作やサービスからの退会といった重大な操作など、利便性より安全性を求めるべき場面ではこうした対策を採るべきでしょう。

 一方でコミュニティサイト等において気軽に記事をポストしたりコメントを付けたりといった軽快性が必要な場面では、こういった実装は好ましくないように思えます。

エンドユーザーとしてのCSRF対策

 以下はエンドユーザーとしてCSRFの被害にあわないための対策です。

都度ログインログアウト

 CSRFは正規ユーザーのログイン中に危険がありますので、サイトにログイン中はそのサイトから出ないようにし、サイトの利用が終わったら必ずログアウトすることで、少なくともあなたがCSRFの被害にあうことは防ぐことができます。

 複数のブラウザを使い分けるというのも有効です。

発見したら報告する

 普段利用しているサイトにCSRFの脆弱性があることをもし見つけてしまったら、サイトの管理者にそっと教えてあげましょう。

 その際サイトの管理者からのレスポンスが悪ければ、静かに都度ログインログアウトの自衛策を取りつつ利用を続けるか、利用をやめるかしたほうがいいと思います。
 それをサイトの脆弱性として広く喧伝するなどの行為はやめた方が無難です。

 そのサイトの

 次へ  前へ

IT7掲示板へ



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
最新投稿・コメント全文リスト  コメント投稿はメルマガで即時配信  スレ建て依頼スレ
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。