高木浩光＠自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない

■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー（REFERER）と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく

[oppara]

高木浩光＠自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない, 駄目な技術文書の見分け方 その1の2

[TakamiArakawa]

要は俺様ルールって事だよね。

[Haruhi_Fake]

要は俺様ルールって事だよね。

[takamiko]

要は俺様ルールって事だよね。

[Cherenkov]

リファラ偽装 referrers 脆弱性

[efcl]

駄目な技術文書の見分け方「完全に○○ないとは言い切れない」

[hasegawayosuke]

ブラウザとWebアプリ、どちらの問題かの切り分けのための判断基準。当時は読んでもピンと来なかったけど今読むとなるほどと思う。

[nozom]

技術文章で「ないとは言い切れない」はNG

[kagawa3]

「攻撃者が任意に指定したRefererを被害者に送信させることはできないということが、デファクトスタンダードになっているかどうか」の話Cookieによるセッション管理の話など

[NOV1975]

そうそう。ただ、クライアント側の脆弱性は理解してもらえないことが多いからサポートは大変だよね。「このブラウザは～のため使用できないようになっております」⇒「なんでじゃごるぁ」みたいな。

[no_ri]

すばらしいまとめ

[send]

リファラとからへん

[suVene]

Referer偽装における責任問題(ブラウザ、サーバ)、リクエストヘッダの話。その他cookieによるセッション管理の歴史など。イタリック文字で書かれた「大岩くん」の働きがすごいｗ

[kmachu]

Refererを偽造できるかどうか