CSRF対策は基本? | 水無月ばけらのえび日記

コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや

[kenichiice]

「。設計段階から意識的にCSRFに対応する必要があり、それが抜けていたのであれば設計から再検討する必要があります。」

[hokaccha]

基本だと思うが。

[mumincacao]

わかっていて費用対効果がさっぱりだから対策しないのはいいけど，わかんなくて対策されてないのをごっちゃにしちゃめだと思うのです（´・ω・｀；【みかん

[kokorohamoe]

基本かどうかの基本は、基本的な技術ではなく、基本的にやらなくてはいけないことにかかっているので、難しくてもやらなくてはいけない。に含まれるかと。アドバンスドの方は単純に費用の問題かと

[Akaza]

(XSSやSQLInjectionも含めて)バグかどうかは、仕様定義次第じゃあないのかな。 もちろんそのようなものの対策は基本として、仕様に含めるべきだとは思うけれど。

[h-hirai]

ぶこめも合わせて

[kgbu]

「発注側がCSRFへの対策を必要としている場合、要件に明確に含めないと対策が行われない可能性がある」という現状の話

[fuki1234]

こうやってWEBサービスのクオリティが上がっていけばいいと思う。

[ukky3]

CSRF対策は基本?

[rdfrk]

セキュリティは詳しくないけど、アメーバなうと7&Yを見て、勉強しないとなと思った。 Reading: CSRF対策は基本? | 水無月ばけらのえび日記

[monjudoh]

『標準とされるプランにCSRFの診断が含まれていなかったことです』にゃんと

[myoukabi]

何を作るにしても、設計が重要なのは変わらないということで。

[raimon49]

CSRFの深刻度の判断はPOSTが通って起こされる行動によって生じる副作用によって決まるというお話。分かり易い。

[pochi-p]

ゴメンなさい「発見は面倒」ですよね何見てたんだろ自分ホントゴメンなさい…。orz / 修正前のイミフブコメ→『「CSRF対策は面倒」ってのは…』←どんな誤読してんだ過去の私…。ゴメンなさい。

[cloudliner]

確かに。情報漏洩に直結するSQLインジェクションなどとは違ってCSRFは影響度が見えにくい "CSRF対策は基本? | 水無月ばけらのえび日記"

[tyage]

むずかしい・・・？

[diveintounlimit]

バグではありません。仕様です。的な。そんなに見つけづらいかね？画面遷移図とかまともに揃ってれば、遷移からこの辺怪しいとか、読めそうなものだけど。ばけらさん了解です。面倒→工数大→お金ということですね。

[konaze]

確かに副作用の有無は重要ですね

[mi1kman]

検査屋が価格を下げるために省いているのも一因な気がする

[sohei]

んなこたねーよ！！同じ設計バグだって。ちゃんとやってる会社は当然チェックしてるよ。

[ikasamaH]

被害の規模が違うというのもあるかと。CSRFは1人のユーザが攻撃対象だけどXSS/SQLInjectionはサイト自体が対象

[rryu]

エスケープ漏れなんてものは所詮バグな訳で、だからこそセキュアなウェブアプリのベースラインはCSRFにあると思う。事前に考慮しさえすればフレークワークレベルでも何とかなってしまう定型処理という点も含めて。

[cubed-l]

CSRFには価値判断が伴うからねぇ／設計が原因の脆弱性は手戻りが大きすぎて指摘するのも辛い

[ockeghem]

『CSRFへの対策は、大手診断会社の標準コースには含まれないような要素であるわけです』<そうですね。ただ安全なウェブサイトの作り方第2版以降には入っているし、ウェブ健康診断仕様にも入っています

[fbis]

同意

[kits]

「CSRFはバグが原因ではありません」

[daruyanagi]

なるほろ

[FTTH]

セキュリティ話とミニスカ性犯罪話onはてな村を悪魔合体させて面白く出来ないかな。「脆弱性のあるアプリははまちちゃんを誘っている」「脆弱性のあるアプリを公開する自由もある」的な方向で。……無理か。

[Layzie]

発見するのが大変だからという理由で基本の対策から外れてるって事なのかな？

[Hamachiya2]

大抵のwebサービスでlogoutとかはCSRF可能だけど、それを脆弱性とみなすかというと…よっぽどイタズラでもされない限り対策なんてしなくてもいいだろうしね