高木浩光＠自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由

水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest（ヘッダおよび、POSTの場合はボディを含む）を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse（ヘッダおよび、HTML）を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更

[kathew]

10年以上前の記事なのに、未だ学ぶべき所があるなぁ

[kikai-taro]

>>クロスサイト・リクエストフォージェリ対策

[cvshin]

なつい記事発見。GIJOEさん噛みつき印象に残ってるｗ ■ CSRF対策に「ワンタイムトークン」方式を推奨しない理由

[yojik]

CSRF対策のための画面毎ワンタイムトークンは複数画面を同時に開かれるケース等を考えると実装が複雑になりすぎて無駄。そもそもセッション毎の固定トークン(むしろセッションIDそのもの)で十分。という話。

[Hash]

これ、直観で議論しても誰も幸せにならないし手を動かして確認する必要ある

[supersudo]

ワンタイムトークン

[isidai]

@dopingoo @sora_h @Sn0wNight 資料です

[tyoro1210]

ながい

[ukstudio]

やっぱ、ワンタイムむずかしいよね

[cnomiya]

はてブってなかった...｜トークンはログインセッションで共通の1個でよい｜CSRFを解決するだけの目的には、第三者からの攻撃リンクによる画面遷移なのか、正規の画面遷移なのかさえ区別できればよい

[ghostbass]

セッション開始後、必要なら新トークンを発行、以降はそれを使う？

[efcl]

CSRFとワンタイムトークン 同時編集、セッション

[kei_tanaka_des]

ワンタイムトークン方式を非推奨な理由

[hurvinek]

CSRF対策は"ワンタイム"トークンでなくてもいい．

[monjudoh]

CSRF対策のトークンが"ワンタイム"である必要はなく、セッションIDでも何も問題ない(第三者は知りえないから)という話。

[webmarksjp]

csrf

[elm200]

難しすぎて頭が爆発しそうなんですが。

[ihag]

すばらしいエントリ

[kmachu]

「編集開始の最初の段階で、機能に固有の何らかの識別コードを確定させて使う方法が使われているのではないか」←REST志向との関連が興味深い。

[higeorange]

（セッションIDとは別の）セッションで共通の1個の乱数（第二セッションID

[hi-rocks]

（未読）

[traverse]

ワンタイムトークンが実現する機能はセッションオブジェクトにbooleanプロパティを一つ持たせることで代替できます。

[onionskin]

昔は同時編集なんてとてもできなかったと思うけど、最近はできるの？ Wikiくらいのような気もする。

[hide_log]

CSRF

[vine_hate]

[security] [プログラミング]

[usj12262]

本物のプログラマ必見。あとwikiとかいじる人も。

[rhosoi]

「対策」って後手のものだから簡単なのでいいのになんでこう話が長くなるんだ？

[cheebow]

hiddenパラメタは漏れやすいのか？

[cvyan]

つまり、hiddenに入れたセッションIDを確認しろってことでFA？あ、でもそれだと同時編集に対応できないのか？アレ？