古庄親方のコラム「基本的なWebセキュリティ その3」が鈴与シンワートで公開されています。
興味がある方はご覧ください。
--
前々回は「パスワードの保存方法」、前回は「SQLインジェクション」と「XSS」という、極めてポピュラーかつ有名な脆弱性について簡単にお話をしていきました。
あともう少しだけ「ありがちな脆弱性」についてお話をしていきましょう。
少し仕組みが厄介なのですが、対応が重要なものにCSRF(Cross-Site Request Forgeries)があります。クロスサイトリクエストフォージェリ、と呼称します。
「ぼくはまちちゃん」で、もしかすると覚えてらっしゃる方がいるかもしれません。或いは「犯罪予告をした、とされての誤認逮捕(パソコン遠隔操作事件)」といってピンと来る方がいらっしゃるかもしれません。
CSRFは、端的には「正規のユーザが、自分の意図に反して一定のリクエストを強要されてしまう」脆弱性です。
これは「ログインが必要なサービス」だけではなく、「特にログインがないサービス」でも発生する、のは、上述の「犯罪予告をした、とされての誤認逮捕」ですでに行われている事柄になります。
こちらの対応は、上述の2つと比べると「比較的出来ていない事も多い」ように思われます。
しかし場合によっては、実際に「誤認逮捕」のような実害も出ているものなので、しっかりと対応をする必要があります。
(この続きは以下をご覧ください)
(リンク »)
前々回は「パスワードの保存方法」、前回は「SQLインジェクション」と「XSS」という、極めてポピュラーかつ有名な脆弱性について簡単にお話をしていきました。
あともう少しだけ「ありがちな脆弱性」についてお話をしていきましょう。
少し仕組みが厄介なのですが、対応が重要なものにCSRF(Cross-Site Request Forgeries)があります。クロスサイトリクエストフォージェリ、と呼称します。
「ぼくはまちちゃん」で、もしかすると覚えてらっしゃる方がいるかもしれません。或いは「犯罪予告をした、とされての誤認逮捕(パソコン遠隔操作事件)」といってピンと来る方がいらっしゃるかもしれません。
CSRFは、端的には「正規のユーザが、自分の意図に反して一定のリクエストを強要されてしまう」脆弱性です。
これは「ログインが必要なサービス」だけではなく、「特にログインがないサービス」でも発生する、のは、上述の「犯罪予告をした、とされての誤認逮捕」ですでに行われている事柄になります。
こちらの対応は、上述の2つと比べると「比較的出来ていない事も多い」ように思われます。
しかし場合によっては、実際に「誤認逮捕」のような実害も出ているものなので、しっかりと対応をする必要があります。
(この続きは以下をご覧ください)
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
