クロスサイトリクエストフォージェリなど怖くない?刑務所行きの危険があっても?

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎 2008年03月26日 19時23分

  • このエントリーをはてなブックマークに追加

 Robert Hansen氏(R-Snake氏としても知られている)は、米国時間3月20日、興味深い記事をブログに掲載している。R-Snake氏は次のように述べている。

 これについて話したことはあったが、今や本当に可能になった。CSRFは今では懲役の罪になり得る。FBIは児童ポルノだと考えられるリンクをクリックした人たちを逮捕し始めた。私はその崇高な目的は理解できるが、その古いロジックにはかなり大きな問題がある。私は、好きな時にユーザーにリンクをクリックさせることができる。そこで、一部の興味深いCSRF技術のグレーな領域が問題になる。司法当局は「リファラーが一致しない」というかも知れない。しかしそのためにMETA refreshがあるのだ。私はリファラーのURLをまったく残させずに、ユーザーに何かをクリックさせることができる。

 つまり、本当の質問はこうなる。リファラーURLのないユーザーを捜査する価値はあるだろうか?

 私はこの問題については、R-Snake氏に完全に賛成だ。私は児童ポルノを見ようとする輩を捕まえるのは大変結構なことだと思うが、われわれはみな、誰かにCSRFによってあるページを無理矢理見せられる可能性があり、そのために非常に重い罪で逮捕される可能性が生じるような世界を恐れるべきだと思う。新しい法律が技術と結びつけられるたびに、私はインターネットを使うことさえ恐ろしくなってくる。このように生まれた法律は、誤って犯罪に関わっているとされてしまうリスクを生んでしまうものであり、規制やPCIのような標準は非常に曖昧で、企業に「われわれはあなた達が言ったとおりにやったのだ」という言い訳を許し、ウェブアプリケーション自体を甚だしく安全でないままにさせておく危険がある。

 R-Snake氏が取り上げて指摘してくれたこの問題は、非常に重要だ。ある時点で、司法当局と政府はセキュリティの専門家と話を始める必要がある。彼らがこれほど法律に対してお粗末な判断をしているようでは、われわれの誰もが危ない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!