IE 5とIE 6にCSRFの脆弱性 - ITmedia エンタープライズ
7 users
オルタナブログ通信:Webブラウザの選択肢――機能? 速さ? それとも…… 170組を超えるオルタナティブ・ブロガー(オルタナブロガー)によって、ITにまつわる時事ネタなどが日々発信されているのが、ITmediaのビジネス・ブログメディア「オルタナティブ・ブ... 続きを読む
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか?
260 users
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色... 続きを読む
すべて表示
えび日記: CSRFの説明に追記 - こめんと (2006-03-30)
19 users
■ [Security] えび日記: CSRFの説明に追記 (4/2、この項に別記事で追記。) ええと、この議論はずっと続いていますね。こういう時間かかる話はできれば年度明けてからやろうよ(笑)。 ※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の... 続きを読む
すべて表示
開発者のための正しいCSRF対策
1007 users
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対... 続きを読む
すべて表示
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
29 users
■ クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか 4月27日の日記「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」で、 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古くから存在し... 続きを読む
すべて表示
