記事へのコメント40

    • 注目コメント
    • 新着コメント
    itochan
    >HTMLソースは漏洩する >理由は単純に、cookieに格納したセッションIDが漏洩するシナリオよりも、HTML本文が漏洩するシナリオの方が多いからです。

    その他
    mahbo
    「CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません」

    その他
    kbutti
    XSS

    その他
    shiba_yu36
    勉強になる

    その他
    ryotarai
    via Pocket

    その他
    tmtms
    "そもそもセッションIDを(HTMLソース中に埋め込む)CSRF対策トークンとして使うのは間違いでした" "特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません"

    その他
    pmint
    セッションIDをHTMLやURLに埋め込んでいた時代ならあった。id:jaguarsan id:deep_one 2リクエスト(フォーム生成と投稿)間ごとに異なるのが最適でしょう。セッションだと無駄に長いけど手抜きでそうしてるだけで。

    その他
    asuka0801
    WEBサイトのセキュリティ診断とかしてる調査会社では未だにCSRF対策の項目で「セッションIDなどをトークンとして埋め込む」とか書かれているので高い金払ってソレかよって思ったりする

    その他
    W53SA
    ”CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません。”

    その他
    teppeis
    なんのためのhttpOnlyか、ってことだよね。

    その他
    k2ca3
    gist:9086206

    その他
    kenichiice
    うーん… そういう話ではないかな「ふつうにWebアプリケーションフレームワークやミドルウェアが提供しているCSRF対策機能を使うと良いです」

    その他
    efcl
    CSRFのトークンとセッションの話。

    その他
    usurausura
    http://takagi-hiromitsu.jp/diary/20060409.html ここの4.の場合の議論のベースとなる仮定は破られている、ということ

    その他
    jaguarsan
    jaguarsan id:deep_one それはcsrf対策とセットで導入されやすい二重submit対策ですよ。id:pmint ブラウザバック出来なくなる副作用もあるので仕様と利便性次第ですね。そもそもトークンをサポートしないフレームワークも有りますし。

    2014/02/19 リンク

    その他
    takryou79
    CSRF 最近会社の業務用webに導入したんですが・・・

    その他
    Jxck
    あとで読む

    その他
    kisiritooru
    gistがゴーストに見えた

    その他
    dai_air
    見てれぅ「CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった 」

    その他
    kana321
    CSRF関係なく、特に「単体で」セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません

    その他
    coppieee
    malaさんのアイコンって話題のあの人だったのか。ブコメで初めて気がついた。

    その他
    norisu0313
    gist:9086206

    その他
    rna
    rna ひろみちゅ先生のことかーッッ!H氏の場合、サービス側でインフラ側の不具合を尻ぬぐいするのが常態化すると責任帰属が曖昧になるという問題意識もあってのことだと思う。CSSXSSの件では僕もH氏にdisられた…

    2014/02/19 リンク

    その他
    noramix
    理論的には正しいのかもしれないが、今どき、セッションIDをHTMLに埋め込むのは、docomoガラケーのみとするのが普通なわけで、docomoガラケーにどれだけ当てはまるか議論しないと机上の空論な気がする。

    その他
    zorio
    ひろみちゅ先生だったかなあと思ったらそうだった。

    その他
    rryu
    主張した人は高木さんだったが(http://takagi-hiromitsu.jp/diary/20050427.html)、トークンはセッションに付き1個で良いというのが主な主張であり、なんでセッションIDをそのまま使うことにこだわったのかは今でも不思議ではある。

    その他
    n2s
    とても影響のある人がid:entry:1722822 で懸念していた点→「CSRF tokenをワンタイムにしたり有効期限を設ける場合には、強制的にエラーにせずに確認画面を再表示する方が良いです(使い勝手を下げないようにするため)」

    その他
    kits
    「CSRF関係なく、特に『単体で』セッションハイジャックが可能になるような値を、HTMLソース中に埋め込むべきではありません」

    その他
    hiro_y
    「CSRF tokenをワンタイムにしたり有効期限を設ける場合には、強制的にエラーにせずに確認画面を再表示する方が良いです(使い勝手を下げないようにするため)」

    その他
    syakinta
    サムネ佐村河内やめろ

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった

    You signed in with another tab or window. Reload to refresh your session. You signed out in anoth...

    ブックマークしたユーザー

    • techtech05212023/11/12 techtech0521
    • dev_tamura2022/11/01 dev_tamura
    • satopian2021/07/10 satopian
    • snaka722018/10/24 snaka72
    • ono_matope2018/10/24 ono_matope
    • siik022018/09/20 siik02
    • banananbow2018/01/09 banananbow
    • mytechnote2017/12/05 mytechnote
    • yife2017/11/22 yife
    • gologo132017/07/07 gologo13
    • mounemoi2016/07/19 mounemoi
    • hintoku2016/03/30 hintoku
    • ottonove2016/03/25 ottonove
    • bunnyhop2015/10/14 bunnyhop
    • txmx52015/09/19 txmx5
    • teppey2015/08/02 teppey
    • haromitsu2015/03/23 haromitsu
    • kitokitoki2015/02/09 kitokitoki
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む