デモサイトの動き

基本方式として、高木浩光＠自宅の日記 CSRF対策に「ワンタイムトークン」方式を推奨しない理由の図5を採用しているとのことです。

以下にデモサイトでの動作の概略を説明します。

まず、入力画面①にアクセスすると、セッションID Cookieが発行されます。画面には、氏名とEメールアドレスを入力するフォームが表示されます。このフォームのhiddenに「_flowExecutionTicket」という「フロー実行チケット」が埋め込まれています。

このフロー実行チケットが、高木さん方式の「winid」に相当します。

このチケットは、サーバ側でセッションIDとヒモ付けされています。チケットはPOST/GETで画面間で引き回されます。各画面でユーザが入力した値は、チケットにヒモ付けてサーバ側のセッション領域に保存されます。

また、サーバ側でチケットにヒモ付けて、どこの画面まで進んだのかのステータスを保持しています。ステータスをチェックすることにより、いきなり入力画面①から完了画面に突き進むような攻撃を防げます。

フロー実行チケットでできること

チケットを使うことで、以下のような効果が得られます。

• フロー制御
  途中の画面の跳び越しなどを防ぐ。
• hidden値の改竄防止
  ユーザがフォームで入力した値は、値の検証後にサーバ側で保持されるため、改竄できない。
• CSRF防止
  チケット値は予測困難であるため、CSRF対策になる。
• 二重送信防止
  チケットのステータス管理により、ワンタイム性を持たせられる。

hiddenで全部の情報を引き回す

一番簡単なのは、フロー実行チケットだけではなく、ユーザがフォームに入力した情報も一緒にhiddenで引き回す方法です。

情報をDBなどに登録する最終段階で、サーバ側のセッション領域に保存されている情報と、hiddenから送られた情報が一致しない場合はエラーとします。

チケットの値を都度変更する

もう一つの解決策は、チケットにヒモ付いてセッション領域に保存される情報に、何らかの変更が加えられるタイミングで、フロー実行チケットの値も変更する方法です。

そうすると、新ウィンドウ側の操作で性別を変更した際に、新ウィンドウのチケットの値が、旧ウィンドウのそれとは異なる値に変化します。これにより、性別変更後は新・旧のウィンドウを区別できるようになります。

この方法では、チケットの値を変更する際に、変更前のチケットとそれにヒモ付く情報をサーバ側から消去する実装と、消去せず残す実装の2通りが考えられます。

消去する実装の場合、旧ウィンドウの「回答する」リンクが押下された際に、エラーとせざるを得ません。ブラウザから送信されるチケットは、サーバにとっては消去済み＝見知らぬチケットであるためです。同じような理由で、ブラウザの戻る/リロードなどのボタンの機能に制約が生じます。

一方、消去しない実装では、上記のような問題は生じません。新・旧のウィンドウともに正常に機能させることができます。しかし、ユーザの操作毎にサーバ側のセッション領域内のデータ量が増えていく問題があります。

なおチケットの値を、第三者が予測困難な値に変更すると、セッションIDとフロー実行チケットを第三者が「固定」するタイプの攻撃への耐性ができます。

サブチケットを使う

チケットの値を変化させる方法の変種です。フロー実行チケットに加えて、「サブチケット」をhiddenに埋め込み、ユーザの操作毎にサブチケットの値を変化させます。

サブチケットは、サーバ側のセッション領域に保存されるフォーム入力の情報の「世代」を示す情報だと言えます。