GMailã®ã‚³ãƒ³ã‚¿ã‚¯ãƒˆãƒªã‚¹ãƒˆæ¼æ´©ã¨ãƒ—ライベートJSONP - snippets from shinichitomita’s journalGMailã®ã‚³ãƒ³ã‚¿ã‚¯ãƒˆãƒªã‚¹ãƒˆãŒå¤–部ã‹ã‚‰å‘¼ã³å‡ºã—å¯èƒ½ã«ãªã£ã¦ã—ã¾ã£ã¦ãŸä»¶ã«ã¤ã„ã¦ã€‚ Google内プライベートãªã¯ãšã®ãƒ‡ãƒ¼ã‚¿ãŒã€é–¢ä¿‚ã®ãªã„外部ã®ã‚µã‚¤ãƒˆã‹ã‚‰ã‚‚スクリプト経由ã§èªã¿è¾¼ã¾ã‚Œã¦ã—ã¾ã†ã¨ã„ã†ã‚‚ã®ã€‚ http://ajaxian.com/archives/gmail-csrf-security-flaw ã§ã‚‚ã“ã‚Œã£ã¦CSRFã£ã¦ã„ã†ã®ã‹ãªï¼Ÿãªã‚“ã‹å•é¡ŒãŒã¡ã‚‡ã£ã¨é•ã£ã¦ã‚‹ã‚ˆã†ãªæ°—ã‚‚ã™ã‚‹ã‘ã©ã€‚CSRFã¯æƒ…å ±ãŒæŠœãå–れるã‹ã©ã†ã‹ã£ã¦ã¨ã“ã¯åˆ¥ã«é–¢ä¿‚ãªã„ã¯ãšã ã—。外部サイトã«ãƒ—ライベートデータを盗ã¾ã‚Œã‚‹ã¨ã„ã†è„…å¨ã¨ã—ã¦ã¯CSSXSSã«è¿‘ã„よã†ãªã€‚(追記:ã©ã†ã‚‚CSRFã®å®šç¾©ã£ã¦ã®ã¯ã‚‚ã†ã¡ã‚‡ã£ã¨åºƒã„ã¿ãŸã„) ã“ã®é¨’ãŽã«å‘¼å¿œã—ã¦ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã®ã‚»ã‚ュリティモデルã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã‚ã£ãŸã€‚ http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross
{{#tags}}- {{label}}
{{/tags}}