共有
  • 記事へのコメント38

    • 注目コメント
    • 新着コメント
    その他
    kathew
    kathew 10年以上前の記事なのに、未だ学ぶべき所があるなぁ

    2016/11/04 リンク

    その他
    kikai-taro
    kikai-taro >>クロスサイト・リクエストフォージェリ対策

    2014/05/19 リンク

    その他
    cvshin
    cvshin なつい記事発見。GIJOEさん噛みつき印象に残ってるw ■ CSRF対策に「ワンタイムトークン」方式を推奨しない理由

    2013/06/28 リンク

    その他
    yojik
    yojik CSRF対策のための画面毎ワンタイムトークンは複数画面を同時に開かれるケース等を考えると実装が複雑になりすぎて無駄。そもそもセッション毎の固定トークン(むしろセッションIDそのもの)で十分。という話。

    2012/10/18 リンク

    その他
    Hash
    Hash これ、直観で議論しても誰も幸せにならないし手を動かして確認する必要ある

    2012/09/28 リンク

    その他
    supersudo
    supersudo ワンタイムトークン

    2011/10/27 リンク

    その他
    isidai
    isidai @dopingoo @sora_h @Sn0wNight 資料です

    2011/09/04 リンク

    その他
    tyoro1210
    tyoro1210 ながい

    2011/04/27 リンク

    その他
    ukstudio
    ukstudio やっぱ、ワンタイムむずかしいよね

    2010/11/30 リンク

    その他
    cnomiya
    cnomiya はてブってなかった...|トークンはログインセッションで共通の1個でよい|CSRFを解決するだけの目的には、第三者からの攻撃リンクによる画面遷移なのか、正規の画面遷移なのかさえ区別できればよい

    2010/11/29 リンク

    その他
    SiroKuro
    SiroKuro

    2010/04/29

    その他
    ghostbass
    ghostbass セッション開始後、必要なら新トークンを発行、以降はそれを使う?

    2010/04/29 リンク

    その他
    efcl
    efcl CSRFとワンタイムトークン 同時編集、セッション

    2010/04/14 リンク

    その他
    kei_tanaka_des
    kei_tanaka_des ワンタイムトークン方式を非推奨な理由

    2010/04/03 リンク

    その他
    hurvinek
    hurvinek CSRF対策は"ワンタイム"トークンでなくてもいい.

    2008/11/25 リンク

    その他
    monjudoh
    monjudoh CSRF対策のトークンが"ワンタイム"である必要はなく、セッションIDでも何も問題ない(第三者は知りえないから)という話。

    2008/07/17 リンク

    その他
    webmarksjp
    webmarksjp csrf

    2008/07/13 リンク

    その他
    elm200
    elm200 難しすぎて頭が爆発しそうなんですが。

    2008/02/07 リンク

    その他
    ihag
    ihag すばらしいエントリ

    2007/10/24 リンク

    その他
    kmachu
    kmachu 「編集開始の最初の段階で、機能に固有の何らかの識別コードを確定させて使う方法が使われているのではないか」←REST志向との関連が興味深い。

    2007/09/12 リンク

    その他
    higeorange
    higeorange (セッションIDとは別の)セッションで共通の1個の乱数(第二セッションID

    2007/04/08 リンク

    その他
    hi-rocks
    hi-rocks (未読)

    2006/04/13 リンク

    その他
    traverse
    traverse ワンタイムトークンが実現する機能はセッションオブジェクトにbooleanプロパティを一つ持たせることで代替できます。

    2006/04/12 リンク

    その他
    onionskin
    onionskin 昔は同時編集なんてとてもできなかったと思うけど、最近はできるの? Wikiくらいのような気もする。

    2006/04/12 リンク

    その他
    hide_log
    hide_log CSRF

    2006/04/11 リンク

    その他
    vine_hate
    vine_hate [security] [プログラミング]

    2006/04/11 リンク

    その他
    usj12262
    usj12262 本物のプログラマ必見。あとwikiとかいじる人も。

    2006/04/11 リンク

    その他
    rhosoi
    rhosoi 「対策」って後手のものだから簡単なのでいいのになんでこう話が長くなるんだ?

    2006/04/11 リンク

    その他
    cheebow
    cheebow hiddenパラメタは漏れやすいのか?

    2006/04/11 リンク

    その他
    cvyan
    cvyan つまり、hiddenに入れたセッションIDを確認しろってことでFA?あ、でもそれだと同時編集に対応できないのか?アレ?

    2006/04/11 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由

    水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - 暮らし

    いま人気の記事 - 暮らしをもっと読む

    新着記事 - 暮らし

    新着記事 - 暮らしをもっと読む

    同時期にブックマークされた記事