クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される
日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合に対策が回避されることに気がつきました。 それでは、どのような対策が望ましいかを考えてみると、中々難しい問題です。以下、その内容について検討します。 解決すべき課題の整理 記事の趣旨は、昨年無実の市民のパソコンからCSRFによる犯行予告が横浜市のサイトに書き込まれたことを受けて、サイト側でCSRF対策をして、なりすまし書き込みができないようにしようというものです。なりすましの犯行予告には、CSRFのほか、マルウェアを用いる方法、CSRF以外のWebサイトへの攻撃手法もあるので、CSRF対策だけで十分と
プライバシー侵害を懸念する際に「個人情報保護法」でいう個人情報でないから問題ないと主張する組織が相次いでいるのが問題 - 発声練習
高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでの追伸で述べられている 昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。 は冗談抜きで本当に休みなく同じような話が連続で発生している(高木さんや同じく危機感を持っている方ががんばって指摘している。行動ターゲティング広告とプライヴァシー保護の話のリンクの後ろの方のリンク集参照)。 2008年の端末固有番号を用いた簡単ログインの話ぐらいから始まり、2011年夏のiOSでのUDID使用禁止、秋のsupercookie問題(の再燃)、10月のAppLog、11月のWi-FiのMACアドレスと位置情報の紐付け、12月のキャリアIQ、ConnectFreeによるSNS情報およびMacアドレスの無断取得と延々と続いている、データの突合せによりプライバシー侵害が発生する(した
都道府県型JPドメインがCookieに及ぼす影響の調査
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
