- 2008-06-11 (水) 22:30
- 未分類
今日覚えた言葉。
事象としては知ってたけど、こういう名前だったんだね。
wikipedia大先生によると、
クロスサイトリクエストフォージェリ(Cross site request forgeries, 略記:CSRF,またはXSRF)とは、WWWにおける攻撃手法の一つ。 具体例として、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりするなどの被害が起こる。
ということでした。
おいおいなんか物騒だなということですが、具体的には、任意のHTTPリクエストを送信させられることができる。
好きなページへPOSTとかGETを送ることができるってこと。
怖いですねー。もし、商品の購入ページとかだったら大変です。
Webサイトの管理者側(例えば商品購入ページ)でできる対応は、
1.もう1回、IDとパスワードを入力させる。 2.この画面の前のページ(例えば商品選択ページ)でなんか文字列とかキーを発行して、それの整合性をチェックする。(正しく遷移してきたクライアントのみ機能させる)
といったところでなんとかできるみたい。
気をつけましょー。
関連記事
このブログを書いているsayjiroは最近会社を立ち上げました。小さな小さな会社ですが、一緒に働く仲間を探している今日この頃です。
社員が僕しかいない小規模零細企業ですが、自由に楽しく仕事をしつつWebを使って面白いことができればと思ってます。
募集している人物像:向上心がある・Webともの作りが好き(ある程度経験があると嬉しいですが、未経験でもやる気があれば可です)
お仕事内容:Web周り全般。サイト制作やデザイン、システム構築やiPhoneアプリ開発などいろいろです。
働く形態:その人に合わせて応相談(在宅とかでもいいです)
→興味がございましたらこちらからお気軽にご連絡ください!
- 次の記事: 字幕.inとかニュースとか見てて思ったけど
- 前の記事: 第33回PHP勉強会に行ってきた まとめ
コメント:0
トラックバック:0
- この記事のトラックバックURL
- http://sj6.org/crosssiterequestforgeries/trackback/
