noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える=意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セッション変数が攻撃者に改竄されることまで前提としたらCSRFどころじゃないし何も
![「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」](https://cdn-ak-scissors.b.st-hatena.com/image/square/57099868f1f5672871985bd1b074fa0b5c653aa5/height=288;version=1;width=512/https%3A%2F%2Fs.tgstc.com%2Fogp3%2F90971a6abb55b5245295b07148ff6f05-1200x630.jpeg)