攻撃者がセッション ID を入手可能な状態で CSRF 攻撃を仕掛ける可能性について検討した - co3k.org
仕事で「フレームワークで使ってる CSRF 対策用トークンがセッション ID を基にいろいろ組み合わせた文字列のハッシュなんだけれども、なんでセッション ID 直接使わないんだよう」的な話が出たので、なんでだろうなーと考えつつ理由について検討してみたので以下に一部晒してみます(社内向けに書いたものなのでいろいろ雑だったりするのはごめんね): 推測ですが、セッション ID が GET パラメータとかに含まれたりする可能性を避けたかったんじゃないかなあとか思います(フォームは GET でも使われうることを想定している)。 GET パラメータにセッション ID のような種類の情報は含めるべきではありません。 あと、セッション ID が盗まれた場合でも CSRF 攻撃を受けないようにするという意図もありそうな気がします。攻撃者がセッション ID を知っている状況で CSRF 攻撃を選択する状況につ
名前は「グローバル」「わかりやすい」「ユニーク」の3つを同時に満たすことはできない - モジログ
昨日の「サーバの命名法」を書いていて、「Zookoの三角形」のことを思い出した。基本的にはITのセキュリティに関する話なのだが、一般の人でも理解できるし、面白い話だと思うので紹介したい。 PetName Markup Language - Zooko's Triangle http://www.erights.org/elib/capability/pnml.html 「Zookoの三角形(Zooko's Triangle)」は、名前に関する制約を表現したもので、 1. グローバルでコンテクストがない(Globally Context-free) 2. 人間にわかりやすい(Human Meaningful) 3. 安全で衝突がない(Securely Collision-free) の3つを同時に満たす名前(IDなども含む)は不可能だ、というもの。もともとのZookoの記事では、「Names
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
