BitArts Blog

ロードバイク通勤のRubyプログラマで伊豆ダイバー。の個人的なブログ。

CSRF対策でセッションIDを使うのは危険らしい

CSRF対策でワンタイムトークンの代わりにセッションIDを使う方法は、http://takagi-hiromitsu.jp/diary/20050427.htmlされた後、あちこちで紹介されている手法である。しかしこの方法はMSIE脆弱性によりセッションIDの漏洩に繋がる可能性があるとのこと。 >この方法は「ブラウザに脆弱性がない」ことを前提として考案されたものである。しかし現実にはIECSSXSS脆弱性という「Cookieにはアクセスできないが、hiddenフィールドの値にはアクセスできる」バグが存在している。そのためこの方法を採用したウェブサイトは、リクエスト1でGETを使える場合、CSSXSS脆弱性を悪用することによりセッションIDが盗まれ、結果としてセッションハイジャックされてしまう可能性がでてくる。/ http://www.jumperz.net/texts/csrf.htm via http://bakera.jp/hatomaru.aspx/ebi/topic/2507 http://bitarts.net/secure/index.php?%C0%C8%BC%E5%C0%AD%BC%AD%C5%B5%2F%A5%AF%A5%ED%A5%B9%A5%B5%A5%A4%A5%C8%A1%A6%A5%EA%A5%AF%A5%A8%A5%B9%A5%C8%A1%A6%A5%D5%A5%A9%A1%BC%A5%B8%A5%A7%A5%EAも更新しておいた。