CSRFって言葉しらなかった。。。もしかして常識?んー。今まで作ったもの全般的に見直さないとなぁ。。。
398327 journal yoshitakeの日記: はずかしぃ>< 5 日記 by yoshitake 2006年04月11日 17時04分 CSRFって言葉しらなかった。。。もしかして常識?んー。今まで作ったもの全般的に見直さないとなぁ。。。
これが常識なのって、 (スコア:1)
Re:これが常識なのって、 (スコア:0)
せめてXSSで騒がれた時に気付けよ。
っていう問題な気がする。
まだまだ注意力たらんなぁ。おれ。
Re:これが常識なのって、 (スコア:1)
1.PHPのセッション情報を「session.use_cookies=0」にして、GetまたはPostにて自動で保持。
2.CookieにはKAHOのLoginモジュールにて全く別のセッションIDを付与(セッションの変数として保持)。
3.この両方が合致した場合のみ、アクセスを許す。合致しない場合はセッションそのものを破棄&GC実行
でどうだろうか。。。。
これならサイトの設計見直さなくても対策できるんだけど、大事な本来のセッションIDをGetで渡して大丈夫?っていう心配もあったり。
可能なら、output_bufferを自前で組んで、KAHO用SIDを埋め込むのが良いんだろうけど、パフォーマンスの問題もあるからなぁ。
ま、XSS対策がきちんとされてれば問題無いか。
本当はセッションジャックの対策も含めてIPでのチェックも入れたいんだけど、携帯だとIP変わる事あるからなぁ。
ムズカシィ。
Re:これが常識なのって、 (スコア:1)
例えば、掲示版等でHPのURLを表示するような所の場合に「session.use_cookies=0」にしておくと勝手にセッションID書かれてしまう。。。
これじゃ攻撃元にてセッションIDばればれだし、動的ページにして読み取られたら同じ事。。。
ってか、XSSの元々の問題と同じやん(^^;。XSSの穴作る事になってしまふ。
うーーーーん。
やっぱ、サイト設計の時点で考慮していないとだめか?
もしくは、output_handler書くしか。。。
なんとかシステマチックに対応できないかなぁ。
Re:これが常識なのって、 (スコア:1)
いちお、PHP側でも考えられているんだなぁ。と(w
これなら何とかなるかなぁ。
JavaScript部分だけSID書き出すように替えれば良いんだもんね。
どうおもふ?