アカウント名:
パスワード:
Cookieを使わずにPOSTメソッドのhiddenでセッション管理をしている会員制のWebサイトであれば、CSRF及びCSSXSSの影響は受けません。
金床氏の提案する「正しい対策その1: ワンタイムトークンを正しく使用する方法」もCookieでセッション管理することを前提で書かれていました。
「セッションIDをCookieに入れる」のと「セッションIDをCookie及びhiddenに入れる」のでは、 後者の方がセキュリティ上のリスクは高いのでは無いでしょうか。
「セッションIDをCookieに入れる」のと「セッションIDをCookie及びhiddenに入れる」のでは、後者の方がセキュリティ上のリスクは高いのでは無いでしょうか。
前提は、ブラウザの脆弱性、プロキシのキャッシュ、第三者のコンピュータの利用なども考えられる、現実社会の環境です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
ワンタイムトークンは不要では (スコア:3, 参考になる)
鵜呑みにしてみる?
Re:ワンタイムトークンは不要では (スコア:1, 参考になる)
それで、CSRF と CSSXSS は防げます。
ただし、対策を行わなかった場合には、Cookieに保存されている
セッションIDはCookie以外には保存されることはありません。
しかし、貴方の言うセキュリティ対策を行うと、
HTML内のhiddenフィールドにセッションIDが埋め込まれることになるわけです。
これが万が一漏洩したらセッションハイジャックの危険があります。
(他のブラウザのセキュリティホールやプロキシサーバのキャッシュ、PCの共有などが無ければ問題ありませんがね。)
冷静に考えてみて下さい。
SCRF対策、CSSXSS対策を行ったことにより、
他のセキュリティホールが生じる可能性が高まる状況は好ましいと言えますか?
Re:ワンタイムトークンは不要では (スコア:0)
>HTML内のhiddenフィールドにセッションIDが埋め込まれることになるわけです。
>(他のブラウザのセキュリティホールやプロキシサーバのキャッシュ、PCの共有などが無ければ問題ありませんがね。)
他の脆弱性?それを言うなら、クッキーにセッションIDを入れる方がよっぽど危ないですから、hiddenにセッションIDを入れるべきです。
「hiddenは漏れるがクッキーは漏れない」なんて脆弱性、CSSXSS以外に聞いたことがありませんし。
Re:ワンタイムトークンは不要では (スコア:1)
Cookieを使わずにPOSTメソッドのhiddenでセッション管理をしている会員制のWebサイトであれば、CSRF及びCSSXSSの影響は受けません。
金床氏の提案する「正しい対策その1: ワンタイムトークンを正しく使用する方法」もCookieでセッション管理することを前提で書かれていました。
「セッションIDをCookieに入れる」のと「セッションIDをCookie及びhiddenに入れる」のでは、 後者の方がセキュリティ上のリスクは高いのでは無いでしょうか。
Re:ワンタイムトークンは不要では (スコア:0)
クライアント側に脆弱性がないなら、リスクは同じでしょう。
Re:ワンタイムトークンは不要では (スコア:1)
大変失礼しました。
前提は、ブラウザの脆弱性、プロキシのキャッシュ、第三者のコンピュータの利用なども考えられる、現実社会の環境です。
Re:ワンタイムトークンは不要では (スコア:0)