クロスサイトリクエストフォージェリなど怖くない?刑務所行きの危険があっても?

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎

2008-03-26 19:23

 Robert Hansen氏(R-Snake氏としても知られている)は、米国時間3月20日、興味深い記事をブログに掲載している。R-Snake氏は次のように述べている。

 これについて話したことはあったが、今や本当に可能になった。CSRFは今では懲役の罪になり得る。FBIは児童ポルノだと考えられるリンクをクリックした人たちを逮捕し始めた。私はその崇高な目的は理解できるが、その古いロジックにはかなり大きな問題がある。私は、好きな時にユーザーにリンクをクリックさせることができる。そこで、一部の興味深いCSRF技術のグレーな領域が問題になる。司法当局は「リファラーが一致しない」というかも知れない。しかしそのためにMETA refreshがあるのだ。私はリファラーのURLをまったく残させずに、ユーザーに何かをクリックさせることができる。

 つまり、本当の質問はこうなる。リファラーURLのないユーザーを捜査する価値はあるだろうか?

 私はこの問題については、R-Snake氏に完全に賛成だ。私は児童ポルノを見ようとする輩を捕まえるのは大変結構なことだと思うが、われわれはみな、誰かにCSRFによってあるページを無理矢理見せられる可能性があり、そのために非常に重い罪で逮捕される可能性が生じるような世界を恐れるべきだと思う。新しい法律が技術と結びつけられるたびに、私はインターネットを使うことさえ恐ろしくなってくる。このように生まれた法律は、誤って犯罪に関わっているとされてしまうリスクを生んでしまうものであり、規制やPCIのような標準は非常に曖昧で、企業に「われわれはあなた達が言ったとおりにやったのだ」という言い訳を許し、ウェブアプリケーション自体を甚だしく安全でないままにさせておく危険がある。

 R-Snake氏が取り上げて指摘してくれたこの問題は、非常に重要だ。ある時点で、司法当局と政府はセキュリティの専門家と話を始める必要がある。彼らがこれほど法律に対してお粗末な判断をしているようでは、われわれの誰もが危ない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]