: O. Yuanying

CSRFメモ

「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。

CSRF(Cross Site Request Forgeries:CSRF)とは、
CSRFとは「特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が推測可能な場合に、攻撃者によって誘導されたユーザーが、意図に反してその機能を実行させられてしまう」という脆弱性。
対処法
「CSRFの問題点は『機能を実行するためのHTTPリクエストが推測できてしまうこと』」。逆に言えば、攻撃者による推測が困難なパラメータをHTTPリクエストに含めること。
「ワンタイムトークンの利用」も有効なほか、「重要な処理を確定させる際に再認証を行う」方法が推奨されるという。つまり、商品購入、決済などの重要な操作を確定させる前に必ずIDとパスワードを入力させることで、CSRFによる攻撃は困難になるという。

Mixiのセッションっていつ切れてるんだろう?なんか一回ログインした後一日中ほっておいた後でも普通にログインせずに繋がるんですが。。。

まあそれはそれとして、例えセッションが1時間や30分で切れるようでも、Webアプリケーション上で、重要な確定や更新をGETだけで行えるようにしちゃ駄目だと言うことかな?