rryuのブックマーク / 2009年12月19日

rryu id:rryu

2009年12月19日のブックマーク (2件)

soheiのブックマーク / 2009年12月19日 - はてなブックマーク
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
rryu 2009/12/19
CSRFに対して脆弱であってもアプリ的には仕様を満たしており設計も実装もバグってはいない。CSRF対策は純粋にセキュリティ施策なのでそれをバグと言うのはちょっと。

セキュリティ
リンク
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
rryu 2009/12/19
エスケープ漏れなんてものは所詮バグな訳で、だからこそセキュアなウェブアプリのベースラインはCSRFにあると思う。事前に考慮しさえすればフレークワークレベルでも何とかなってしまう定型処理という点も含めて。

セキュリティ
リンク
- 2009年12月24日
- 2009年12月19日
- 2009年12月18日