Robert Hansen氏(R-Snake氏としても知られている)は、米国時間3月20日、興味深い記事をブログに掲載している。R-Snake氏は次のように述べている。
これについて話したことはあったが、今や本当に可能になった。CSRFは今では懲役の罪になり得る。FBIは児童ポルノだと考えられるリンクをクリックした人たちを逮捕し始めた。私はその崇高な目的は理解できるが、その古いロジックにはかなり大きな問題がある。私は、好きな時にユーザーにリンクをクリックさせることができる。そこで、一部の興味深いCSRF技術のグレーな領域が問題になる。司法当局は「リファラーが一致しない」というかも知れない。しかしそのためにMETA refreshがあるのだ。私はリファラーのURLをまったく残させずに、ユーザーに何かをクリックさせることができる。
つまり、本当の質問はこうなる。リファラーURLのないユーザーを捜査する価値はあるだろうか?
私はこの問題については、R-Snake氏に完全に賛成だ。私は児童ポルノを見ようとする輩を捕まえるのは大変結構なことだと思うが、われわれはみな、誰かにCSRFによってあるページを無理矢理見せられる可能性があり、そのために非常に重い罪で逮捕される可能性が生じるような世界を恐れるべきだと思う。新しい法律が技術と結びつけられるたびに、私はインターネットを使うことさえ恐ろしくなってくる。このように生まれた法律は、誤って犯罪に関わっているとされてしまうリスクを生んでしまうものであり、規制やPCIのような標準は非常に曖昧で、企業に「われわれはあなた達が言ったとおりにやったのだ」という言い訳を許し、ウェブアプリケーション自体を甚だしく安全でないままにさせておく危険がある。
R-Snake氏が取り上げて指摘してくれたこの問題は、非常に重要だ。ある時点で、司法当局と政府はセキュリティの専門家と話を始める必要がある。彼らがこれほど法律に対してお粗末な判断をしているようでは、われわれの誰もが危ない。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
