CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

[jaguarsan]

id:deep_one それはcsrf対策とセットで導入されやすい二重submit対策ですよ。id:pmint ブラウザバック出来なくなる副作用もあるので仕様と利便性次第ですね。そもそもトークンをサポートしないフレームワークも有りますし。

[rna]

ひろみちゅ先生のことかーッッ！H氏の場合、サービス側でインフラ側の不具合を尻ぬぐいするのが常態化すると責任帰属が曖昧になるという問題意識もあってのことだと思う。CSSXSSの件では僕もH氏にdisられた…

[t-wada]

“そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした” "ふつうにWebアプリケーションフレームワークやミドルウェアが提供しているCSRF対策機能を使うと良いです"

[mather314]

"CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。" 当然…ですよね？

[itochan]

＞HTMLソースは漏洩する　＞理由は単純に、cookieに格納したセッションIDが漏洩するシナリオよりも、HTML本文が漏洩するシナリオの方が多いからです。

[mahbo]

「CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません」

[kbutti]

XSS

[shiba_yu36]

勉強になる

[ryotarai]

via Pocket

[tmtms]

"そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした" "特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません"

[pmint]

セッションIDをHTMLやURLに埋め込んでいた時代ならあった。id:jaguarsan id:deep_one 2リクエスト（フォーム生成と投稿）間ごとに異なるのが最適でしょう。セッションだと無駄に長いけど手抜きでそうしてるだけで。

[asuka0801]

WEBサイトのセキュリティ診断とかしてる調査会社では未だにCSRF対策の項目で「セッションIDなどをトークンとして埋め込む」とか書かれているので高い金払ってソレかよって思ったりする

[W53SA]

”CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。”

[teppeis]

なんのためのhttpOnlyか、ってことだよね。

[k2ca3]

gist:9086206

[kenichiice]

うーん… そういう話ではないかな「ふつうにWebアプリケーションフレームワークやミドルウェアが提供しているCSRF対策機能を使うと良いです」

[efcl]

CSRFのトークンとセッションの話。

[usurausura]

http://takagi-hiromitsu.jp/diary/20060409.html ここの4.の場合の議論のベースとなる仮定は破られている、ということ

[takryou79]

CSRF 最近会社の業務用webに導入したんですが・・・

[Jxck]

あとで読む

[kisiritooru]

gistがゴーストに見えた

[dai_air]

見てれぅ「CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった 」

[kana321]

CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません

[coppieee]

malaさんのアイコンって話題のあの人だったのか。ブコメで初めて気がついた。

[norisu0313]

gist:9086206

[noramix]

理論的には正しいのかもしれないが、今どき、セッションIDをHTMLに埋め込むのは、docomoガラケーのみとするのが普通なわけで、docomoガラケーにどれだけ当てはまるか議論しないと机上の空論な気がする。

[zorio]

ひろみちゅ先生だったかなあと思ったらそうだった。

[rryu]

主張した人は高木さんだったが(http://takagi-hiromitsu.jp/diary/20050427.html)、トークンはセッションに付き1個で良いというのが主な主張であり、なんでセッションIDをそのまま使うことにこだわったのかは今でも不思議ではある。

[n2s]

とても影響のある人がid:entry:1722822 で懸念していた点→「CSRF tokenをワンタイムにしたり有効期限を設ける場合には、強制的にエラーにせずに確認画面を再表示する方が良いです(使い勝手を下げないようにするため)」

[kits]

「CSRF関係なく、特に『単体で』セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません」

[hiro_y]

「CSRF tokenをワンタイムにしたり有効期限を設ける場合には、強制的にエラーにせずに確認画面を再表示する方が良いです(使い勝手を下げないようにするため)」

[syakinta]

サムネ佐村河内やめろ