高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
セキュリティホールで問うこれからの常識
クライアント側から漏れるパターン クライアント側(ユーザーのPC)で情報漏えいするパターンの一つについて説明していこう。 ここで解説する概念は、日ごろアプリケーション開発者が意識すべき事項だが、ビジネスユーザーでも知っておけば“アプリケーションのバグ”というものがどのようなものかが理解しやすくなるはずだ。 ユーザーがWebブラウザを介して何らかの情報を入力した場合、ブラウザの持つPCのメモリ空間に一時的に格納されている。アプリケーションが速やかに動作するための仕組みのため、これは特にブラウザだけとは限らない。 Webブラウザを終了させると、そのプロセス(アプリケーションの動作単位)が持つメモリ空間は解放される仕組みだ。ただし、OSの特性にも依存するが、プロセスが解放したメモリ領域では、未使用領域としてOSが認識している状態であり(符号付けしているようなもの)、メモリ内には解放前のデータがそ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
