@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃

ある日、大手SNS（Social Networking Site）のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF（Cross-Site Request Forgeries）と呼ばれる攻撃手法の一種だ。 編集部注： 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください

[xlc]

8年前の記事だが対策が嘘だらけで、はてブでも反論がないやばい記事。検索するとこういうのに当たってバグを埋め込む。

[idr_zz]

はまちちゃん、なんて可愛い響きだけど恐ろしい事件だったんだな 「ぼくはまちちゃん」 ――知られざるCSRF攻撃：Security&Trust ウォッチ（33） - ＠IT

[kyab]

絵がシンプルで説明の参考になりそう。ログイン不要な場合にも悪用されることについても説明あり。

[d_animal141]

「ぼくはまちちゃん」 ――知られざるCSRF攻撃

[kana321]

攻撃として利用されるCSRFの特徴としては、ログイン認証を必要とするWebサイトが攻撃対象となっていることである。

[watanata2000]

CSRF ぼく はまちちゃん

[wideangle]

こんにちはこんにちは！！

[daaaaaai]

対策漏れそう・・

[peroon]

はまちちゃんの教育効果

[kotaro-ono]

CSRFの解説

[hiwa4]

CSRFについて再度

[deusx]

CSRFってなんぞと思って

[kaito834]

2005年にmixiで発生した「ぼくはまちちゃん」事件の解説記事。「CSRFは、ログイン不要なものにも有効な攻撃である。例えば、アンケートフォームや問い合わせフォームなども攻撃できる」＜脆弱性発表されたものはあるか？

[nilab]

＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃

[tanakaBox]

Cross-Site Request Forgeries。わかりやすい解説。

[nakuraxx]

古い記事だけど。判りやすい。Amebaなうで同様の事が起こった記念に。

[daruyanagi]

まだまだ"知られざる"なんだなぁ

[nasunori]

CSRF攻撃の解説と対策例／CSRF(Cross-Site Request Forgeries)という呼び名は初めて聞いたなあ。

[ka-wara]

4年前の出来事

[kutakutatriangle]

CSRF攻撃に関する対策を説明した記事。

[takkada]

CSRF攻撃について。はまちや×mixi。

[pema]

mixi、はまちちゃん、4年前の記事

[yusuke_f]

"Amebaなう"は何も学んでなかった

[e10lion]

CSRF

[isol]

ｃｓｒｆ

[kicyon]

csrf

[mapii]

CSRF

[webmarksjp]

セキュリティ

[Blue-Period]

『CSRFとは』

[nagyurita]

割に分かりやすいけど、悪用されないといいね的な