タグ

ブックマーク / kanatoko.wordpress.com (1)

  • セッションIDをCSRFトークンに使うべきでない理由

    malaさんも2年程前に書かれているのですが、未だに国内のCSRF対策の解説で「セッションIDをCSRFトークンとして使う」というアイデアが披露されていて辟易します。 喩え話は好きでないですが、「複数のサイトで同じパスワードを使っていたら一箇所から漏洩し、パスワードリスト攻撃を受けた」というのを彷彿します。セッションIDとCSRFトークンは単純に別の値にした方がいいです。 さてこのエントリの題はここからで、CSRFトークンよりもむしろセッションIDの方です。最近は443番ポートへクロスサイトでリクエストを大量に送らせてそれをキャプチャし、すべてのリクエストに共通して含まれてくるCookie中のセッションIDを解読するBEAST/CRIME系の攻撃が知られるようになりました。 これらは基的にはTLS/SSLの問題でありそれぞれ個別に対策が存在しているものの、基的には「セッションIDがず

    セッションIDをCSRFトークンに使うべきでない理由
    Kenji_s
    Kenji_s 2016/12/21
  • 1