はてなブックマーク - おさかなラボ / Blog Archive / [CSRF]高木氏のエントリへの返答

(閉じる)

はてなブックマーク > コンピュータ・IT > おさかなラボ / Blog Archive / [CSRF]高木氏のエン...

おさかなラボ / Blog Archive / [CSRF]高木氏のエントリへの返答

タグ : security CSRF セキュリティ cookie セッション web

コンピュータ・IT 19 users

CSRF対策に「ワンタイムトークン」方式を推奨しない理由 @ 高木浩光＠自宅の日記ものすごく遅くなってしまったが、高木氏の反論を読ませて頂いた。ワンタイムトークン方式の欠陥 (拙作の)「ワンタイムトークン方式」では複数の画面遷移を実装できない、という点についてはまさにその通りで反論の余地はない。僕が提唱した方法では、同一セッションで2つ以上の画面遷移を平行して行った場合、先にワンタイムトークンを発行した方の処理がエラーを起こしてしまう。「ワンタイムトークンを変数で切り分ける」方式(僕が提唱したもの... > このページを見る

最終更新時間: 2006年04月28日10時27分

▼ブログで紹介する

みんなのブックマーク人気（0）新着

hiro_y security
CSRF対策、セッションIDとワンタイムトークン。 2006/04/29
suVene security, csrf
「Cookieが漏れる可能性」＜「Cookieが漏れる可能性+Hiddenが漏れる可能性」を指摘。 2006/04/29
yupo5656 security
CSRF 2006/04/28
nilab security
おさかなラボ / Blog Archive / [CSRF]高木氏のエントリへの返答 2006/04/28