2005-08-06 Cross-Site Request Forgeries セキュリティ http://takagi-hiromitsu.jp/diary/20050703.html 昨日の藤原さんの話で微妙にわからんかったんで調べた。なるほど、大体実際の手口としては、何とかかんとかして正規ユーザに任意コードを実行させるというやつか。それで最近のネットショップではこまめに自動ログアウト(タイムアウト)されてるわけやな。はてななんかは結構ログインしっぱなしにできるが、これはクリティカルな変更はちゃんと対策してるからかな。 んで、高木さんの言うにはやっぱりセッションIDみたいなんを使って対策すると。なんだかんだ言ってもできることは結構簡単に対応できるような印象やが、Webアプリ製作者側に危機意識が足りん感じか。