大分前に、どこかのログインフォーム(ログインIDとパスワードを求めるような画面の事)にCSRF対策が施されてなくて良くないなーと思って、社内のセキュリティに詳しい人に、話してみたら、 「ログインフォームに関しては、CSRF対策が施されてなくても特に問題はない」 的な事を言われて、ちょっと面を食らった。 理由としては、「パスワード」自体が、本人しか知りえない「秘密の情報」であれば、外部サイトから、そのフォームに対してPOSTしたとしても「秘密の情報」が間違ってればエラーになるはずだから。 パスワード変更フォームとかでも、「現在のパスワード」を入力させてちゃんとチェックするようにすれば上記と同じ事が言える。 なるほど、同じような処理をするのでも、それに対する必要なセキュリティ対策というのはその性質によって求められるものが変わってくるんだなーと思った。 むしろログインページ(入力画面)が、htt