2014/02/19

CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある
CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった
Facebook の CSRF 対策トークンを盗み出す手口
Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話
長いわ専門的だわで全部読まなくても良いです。3段目は読んでほしいかな。3段目はFBの話になってるけど、その他SNSでも同じ(でしょう、たぶん)。要は怪しいメッセージは開くな、怪しいリンクは踏むな、ってことです。CSRFってもうずいぶん昔から指摘されてるのに、未だに100%な対策ってできてないのね。びっくりだ。気を付けましょう。