to all users' CSRF

• # 2005/07/08 00:00 ishinao
  コ PHP CSRF セキュリティ
  p0t: CSRF対策俺ルール2 edit res
  • URL CSRF対策俺ルール2 - p0t →1 links
    http://p0t.jp/mt/archives/2005/07/csrf2.html#comments

  セッションIDを使う場合は、ふつうに
  <input type="hidden" name="sessionid" value="<?=session_id() ?>" />
  でいいと思いますよ。

• # 2005/04/29 00:00 ishinao
  CSRF セキュリティ
  厚顔無恥って普遍するものなのかしら？ edit res
  • URL 2005-04-28 - Lucrezia Borgia の Room Cantarella →1 links
    http://d.hatena.ne.jp/Lucrezia/20050428#p2

  一つのセッションIDでCSRF攻撃チェックを行うことと、複数窓を使って入力を同時進行することは別問題だと思うんだが。複数窓別セッション（IEとか）にするなら問題は生じないし、そうじゃない場合はCSRF対策とは関係ない話だし。

• # 2005/04/28 00:00 ishinao
  CSRF セキュリティ セッション
  高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 edit res
  • URL 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 →9 links
    http://takagi-hiromitsu.jp/diary/20050427.html#p01

  と思ったけどやっぱり中止。俺のライブラリではセッションIDは設定によっては定期的にregenerateするんで、CSRF対策で使うコードと寿命が違ってくるから。CSRF対策専用のIDを発行してそれでチェックしよう。

• # 2005/04/28 00:00 ishinao
  CSRF セッション セキュリティ
  クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法 edit res
  • URL 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 →9 links
    http://takagi-hiromitsu.jp/diary/20050427.html#p01

  セッションCookie値を直接使うのはやだなーと思っていたけど、よく考えたら、特にそのまま使ってダメな理由はないな。Cookieで流れているものがhiddenでも流れるだけだし。というわけで使える場合はそれを使う方向で。

• # 2005/04/23 00:00 ishinao
  CSRF セキュリティ
  ITmedia エンタープライズ：大量の「はまちちゃん」を生み出したCSRFの脆弱性とは？ edit res
  • URL ITmedia エンタープライズ:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? →5 links
    http://www.itmedia.co.jp/enterprise/articles/0504/23/news005.html

  『オンラインショッピングサイトなどで悪用されれば』。前にしばさんのところでAmazonのカートにたくさん商品を入れるリンクとか紹介されてた気がする。1-Click有効だとそのまま確定されちゃうかも、とか。

• # 2005/04/21 00:00 ishinao
  告 更新情報 MM 仕様変更 CSRF
  [MM][セキュリティ][CSRF] MM/Memoでも一応対応コードをつけてみた (15:10) edit res
  • URL tDiaryのアンカーリンク時にドキュメントタイトルを表示する その3 (14:43), MM/Memoでも一応対応コードをつけてみた (15:10), tDiaryのアンカーリンク時にドキュメントタイトルを表示する その4 (18: →1 links
    http://tdiary.ishinao.net/20050421.html#p02

  MM/Memoの投稿フォームにCSRF対策コードを追加してみた。なんか問題があったら教えてください。