�u�ڂ��͂܂������v �\�\�m��ꂴ��CSRF�U���FSecurity&Trust �E�H�b�`�i33�j

» 2005�N04��27�� 10��00�� ���J
[�����C��IT]
ڂ͂܂I

�@������A���SNS�iSocial Networking Site�j��mixi�̓��L�ɂ��̂悤�ȏ������݂��������B�����1�l�����łȂ��A�����ɐ������̃��[�U�[�̓��L�ɓ������ʂ��f�ڂ���Ă����B

�@����́A�P�ɂ��̂悤�ȕ��͂��͂��A���[�U�[���g���Ӑ}���Čf�ڂ����̂ł͂Ȃ��A����d�|���ɂ���ă��[�U�[���g���C�t���Ȃ������Ɉ����N�����ꂽ���ۂȂ̂ł���B���̎d�|���Ƃ́ACSRF�iCross-Site Request Forgeries�j�ƌĂ΂��U����@�̈�킾�B

�ҏW�����F
���݁A�u�͂܂������v�g���b�v�́Amixi�^�c�҂ɂ��΍􂳂�Ă��܂��B��L�̃T���v���́Amixi���ɍč\���������̂ł��B

�{�e�̓��e�����؂���ꍇ�́A�K���e�����y�ڂ��Ȃ�����ꂽ�‹����ōs���ĉ������B�܂��A�{�e�𗘗p�����s�ׂɂ����Ɋւ��܂��ẮA�M�҂���уA�C�e�B���f�B�A������Ђ͈�ؐӔC�𕉂����˂܂��B���������������B

CSRF�Ƃ�

�@CSRF�Ƃ�����@�́A�{���󂯕t����K�v���Ȃ��i���ۂ��ׂ��j�O����Web�y�[�W�����HTTP���N�G�X�g�iPOST��GET�j�ɂ���āAWeb�T�C�g�̉��炩�̋@�\�����s�����Ƃ������̂ł���B�U���Ƃ��ė��p�����CSRF�̓����Ƃ��ẮA���O�C���F�؂�K�v�Ƃ���Web�T�C�g���U���ΏۂƂȂ��Ă��邱�Ƃł���B

�@�u�͂܂������v�����̂悤�ɁA���[�U�[�̌����������ă��O�C�����Ȃ���΂ł��Ȃ����L�ւ̏������݂�����ɊY������B�폜�@�\��ҏW�@�\�A�މ�@�\�Ȃǂ����s����Ă��܂����������BCSRF�Ƃ������O��Cross-Site Scripting �iXSS�j�Ǝ��Ă��邪�A�ʂ̍U����@�ł���B

CSRF͖{󂯕tKvȂÕNGXg󂯕tĂ܂Ǝ㐫𗘗pU@ CSRF�͖{���󂯕t����K�v���Ȃ��O������̃��N�G�X�g���󂯕t���Ă��܂��Ǝ㐫�𗘗p�����U����@

�@CSRF�ł́A�d�|���𖄂ߍ���Web�y�[�W�𐳋K���[�U�[���\�����邱�ƂŃ^�[�Q�b�g�ƂȂ�Web�A�v���P�[�V�����Ƀ��N�G�X�g�𑗂�BCSRF�̎�ȃ^�[�Q�b�g�̓��O�C���F�؂��K�v�ƂȂ�Web�T�C�g�Ȃ̂ŁA���K�̃A�J�E���g���Ȃ���Γ��RWeb�A�v���P�[�V���������s���邱�Ƃ��ł��Ȃ��B

�@�������A���O�C���F�؂��K�v��Web�T�C�g�̑����́A���O�C���F�؎菇���Ȃ����߂�Cookie�𗘗p���Ď������O�C���@�\��񋟂��Ă���B1�x���O�C���F�؂��s���΁A���̔F�؍ς݂̃Z�b�V���������΂炭�̊Ԃ͗L���ɂȂ��Ă���B���̃Z�b�V�����̗L�������͒Z�����5�����x�ŁA�����Ƃ���͉i�v�ɗL���ȂƂ��������B����́ACSRF�U�����������Ă��܂��B

�@CSRF�́A���O�C���s�v�Ȃ��̂ɂ��L���ȍU���ł���B�Ⴆ�΁A�A���P�[�g�t�H�[����₢���킹�t�H�[���Ȃǂ��U���ł���B�Ώۂ��V���b�s���O�T�C�g�ł���΁A����ɉ����w������Ă��܂���������Ȃ��B�ŋ߂ł́A���[�^�[�Ȃǂ̃l�b�g���[�N�@���A�T�[�o�[�̊e��ݒ��Web�u���E�U�o�R�ōs������̂������Ă���̂ŁA������CSRF�U���̑ΏۂƂȂ蓾��B

CSRF���I�݂Ɏ��s��������

�@CSRF�U���𔭓������邽�߂ɂ́A�O����Web�y�[�W��HTML�`���̃��[���Ȃǂ�HTML�e�L�X�g���K�v�ƂȂ�B�����ɂ��������Ȃ��Ƃ������Ă��铊�e�pWeb�t�H�[�����ݒu���Ă����Ă��A�N���g���M�h�{�^�����N���b�N���Ȃ����낤�i�ƐM�������j�B

�@���[�U�[�Ɂg���M�h�{�^�����N���b�N�����邽�߂ɁA���̂悤�ȃe�N�j�b�N�𕹗p���Ă��邱�Ƃ������B�����́A�u�͂܂������v�����ł��g���Ă�����@�ł���B

���t�B�b�V���O���\�̂悤��

�@���t�I�݂ɃN���b�N�������Ȃ�悤�ȕ�������ׂă��[�U�[���g�ɃN���b�N������B�u�͂܂������v�̏ꍇ�A�u�y�����zmixi�̗��Z�v�Ƃ������o���ƁA�u���I�C�I�C�A���������c�v�Ƃ����{�������ōU���p�y�[�W�ւ̃����N���N���b�N�����Ă����B�܂��AXSS�𗘗p���Ė{����Web�T�C�g�̂悤�Ɍ���������Ƃ����������Ȏ�@�����p�”\���B

��URL�̃��_�C���N�g

�@�u�͂܂������v�����ł́A�U���p�y�[�W�ւ̃����N�𖳊Q��Google�ւ̃����N�̂悤�ɋU�����Ă����BGoogle����U���p�y�[�W�ւƃ��_�C���N�g�����Ă����̂ł���B

��JavaScript�ɂ�鎩�����M

�@mixi�̐��K���[�U�[���U��Web�y�[�W��ǂݍ��񂾏u�ԂɁAJavaScript�ɂ���čU���t�H�[���������I�ɃN���b�N�������Ă����B�܂��A�摜��\�����邽�߂�IMG�^�O�����p������@������B

C[W}

Web�T�C�g�^�c�ґ���CSRF�΍�

�@���ʓI��CSRF�΍���u���邽�߂ɂ́AWeb�A�v���P�[�V�����̃v���O�����ōs���K�v������B�����̑΍􂪍l�����邪��Ȃ��̂����ɋ����Ă����B

��Cookie���g�����Z�b�V�����̒ǐ�

�@����́A�^�c�ґ����z�肵���y�[�W�J�ڂǂ���ɗ��p�҂��y�[�W���ړ����Ă��邱�Ƃ��m�F���邽�߂̕��@�ł���B

�@�܂�1�y�[�W�ڂœn��Cookie�̒��ɁA�Z�b�V����ID�Ȃǂ̎g���̂Ă̈�ӂȕ������ǐ՗p�Ƃ��Ċ܂܂���B�����āA2�y�[�W�ڂ̉��L�̂悤�Ƀt�H�[���ɐ�قǓn����Cookie�̕�������܂܂���B

<input type="hidden" name="sessionid" value="�O�y�[�W�œn�����ǐ՗p�̕�����">

�@Cookie�̒��g�Ǝ󂯎�������N�G�X�g�̕�����̗�������v����̂��m���߂邱�ƂŁA���p�҂��������y�[�W����J�ڂ��Ă��邱�Ƃ��m�F����B�������A���̕����񂪃T�[�o�[���Ŕ��s�����L���ȕ�����ł��邱�Ƃ��m���߂�K�v������B

�����t�@���[�Ŕ��M�����`�F�b�N

�@HTTP���N�G�X�g���󂯂��Ƃ��A���̃��N�G�X�g���ǂ���Web�y�[�W���甭�s���ꂽ���̂����������t�@���[�iREFERER�j�ƌĂ΂����𓾂邱�Ƃ��ł���B���̏������p���A�{���Ӑ}����Web�y�[�W�ȊO����̃��N�G�X�g�����ۂ��邱�ƂŁACSRF�ɂ��O������̃��N�G�X�g��h�����Ƃ��ł���B

�@�������A���[�U�[�����t�@���[�����o�͂��Ȃ��u���E�U���g���Ă���ꍇ�A���̃`�F�b�N�𓱓�����Ɛ����ȑ���ł��󂯕t���Ȃ��Ȃ��Ă��܂��B

�@���O����郊�t�@���[���U���ɑ΂����肾���A�ȑO�̓��t�@���[���𔭍s����͍̂U���𓥂�ł��܂����������g�Ȃ̂ŁA���t�@���[�����U�����铮�@���Ȃ��A���̑΍�͈��S�ł���Ƃ���Ă����B�������AFlash�̃A�N�V�����X�N���v�g�𗘗p���邱�Ƃł�Referer�w�b�_�[�����R�ɍ쐬�ł��Ă��܂����ߋU���ł��Ă��܂��B����āA���̑΍􂾂��ł͈��S�ƌ����Ȃ��Ȃ����y���z�B

�y���z

���̖���2006�N11��14���Ƀ����[�X���ꂽ�AFlash Player 9.0.28.0�ŏC�����ꂽ�悤�Ȃ̂ŁA���݂�FlashPlayer�̃o�[�W�����m�F�ƃA�b�v�f�[�g�𐄏�����BAdobe Flash Player �_�E�����[�h�Z���^�[


���`�F�b�N�R�[�h�𗘗p

�@����͑g�ݍ��ނɂ͏����̎�Ԃ������邪�A���Ȃ���ʓI�ł���B�������̂����ƌĂԂ̂��m��Ȃ���(�M�ҒNjL�F�uCAPTCHA�v�Ƃ���������)�A�t�H�[�����͎��̉�ʂʼn摜���g���ă����_���ȕ������\�����A��������[�U�[�Ɏ���͂�����Ƃ������@���B���̕��@�́A���[�U�[�̖��m�ȓ��͂����߂�̂ŁA�G���h���[�U�[�ɂ͏�����Ԃł��邪�ACSRF�΍�Ƃ��Ă̌��ʂ͍����B

̂悤ȉ摜\A[U[ɁuatmarkitvƓ͂ ��̂悤�ȉ摜��\�����A���[�U�[�Ɂuatmarkit�v�Ɠ��͂�����

�ҏW�����F
���̂悤�ȁu�摜�F�؁v�Z�p�́A���{�b�g���g�����s���s�ב΍�Ƃ���Yahoo! JAPAN ID�̓o�^�ȂǂŎ��ۂɗ��p����Ă��܂��B

�@��L�̑΍�����ʂ͗�邪�A���������Ԃ����Ȃ��A�������Ȃ����̓}�V�ȕ��@�������Ă����B

��GET���POST

�@HTTP���N�G�X�g�𑗂���@�ɂ�GET��POST������BGET��URL�ɂ��ׂĂ̏����ڂ��đ��郊�N�G�X�g���@�ł���B���̂��߁AGET�ɂ�郊�N�G�X�g�̎�t���s���Ă���ƁAPOST�ɔ�ׂđ����̍U����i��񋟂��Ă��܂����ƂɂȂ�B�������AGET���POST�̕����܂��}�V���Ƃ��������ŁAPOST�̏ꍇ�ł��U����i�͂����‚����݂���B

���m�F��ʂ̒lj�

�@�Ⴆ�΁g�폜�h�Ƃ����@�\�����s����Ƃ��ɁA�g�폜�h�{�^�����������瑦���s����̂ł͂Ȃ��A�u�폜���܂�����낵���ł����H�v�Ƃ�����Web�y�[�W��1�����ނ��Ƃɂ���āA���[�U�[�̊m�F�𑣂����@���B�C�x�ߒ��x�̑΍�ł��邪�AGET�̂悤�ȒP��̃��N�G�X�g�ɂ͌��ʂ�����B�������A�m�F��ʂ��܂ߕ����y�[�W�ɓn���ă��_�C���N�g�����”\�������薜�\�ł͂Ȃ��B

�G���h���[�U�[��CSRF�΍�

�@��ɁuCSRF���I�݂Ɏ��s�������ȁv�ɋ��������ڂ��^���Ă�����Ƃ����������A����Ȃ��Ƃ����Ă��ẮA�܂Ƃ���Web�y�[�W�����邱�Ƃ��ł��Ȃ��Ȃ��Ă��܂��B�c�O�Ȃ���A�G���h���[�U�[���g�ɂł���CSRF�΍�́A���܂߂Ƀ��O�A�E�g���K�v�ȂƂ��Ƀ��O�C������Ƃ�����i���炢�����Ȃ��B�������A���̕��@�ł���G���h���[�U�[�ɂƂ��Ă�Web�̗��֐����\���ɑ��Ȃ����̂Ȃ̂ŁA���ۂɑ΍􂷂郆�[�U�[�͏��Ȃ����낤�B

�@Web�T�C�g�̉^�c�҂̓G���h���[�U�[�Ɋ��҂����A�\����CSRF�΍���s���Ă������������B�܂��A�ǎ҂̊F����CSRF�U�����”\�ɂȂ��Ă���Web�T�C�g�𔭌������ꍇ�ɂ́AWeb�T�C�g�̊Ǘ��҂Ȃ�AIPA�Ȃ�ɓK�؂ɕ񍐂��ė~�����B�񍐑O�Ɍf���‚ȂǂŌ��ɂ���̂́A����ł͂Ȃ��̂ŋC��t���Ă������������B

Profile

��� ��i������ ����j

1975�N���s���܂�B���Z�L�����e�B�𐢂ɍL����ׂ��A�u���⎷�M�����Ƃ��܂��܂ȕ��ʂŊ������B�ߒ��Ɂu����킩�郁�[���v���g�R���v�A�u����킩��TCP/IP�v�A�u����킩��HTTP�v�i�����ĉj�Ёj������B


���C������

�y2006/11/6�z

���t�@���[�Ŕ��M�����`�F�b�N�ɂ‚��āA�u���̕��@�͊ȒP�Ɏ����ł��Ĕ�r�I���ʂ̍������@�ł���B�������A���t�@���[���̓��N�G�X�g���M�҂����R�ɔ��s�ł�����ł���̂ŁA�U������Ă��܂����������100���h���Ƃ��������ʂ͂Ȃ��B�v�Ƃ����L�q���������܂����B

�y2006/11/8�z

���t�@���[�Ŕ��M�����`�F�b�N�ɂ‚��āAFlash�̃A�N�V�����X�N���v�g��p���邱�ƂŃ��t�@���[���U���ł����i����������܂������߁A���e��S�ʓI�Ɍ������܂����B

�y2006/11/16�z

Flash Player�̐Ǝ㐫���C�����ꂽ���߁A���L�Ƃ��čŐV��Flash Player�ւ̃����N��NjL���܂����B


�uSecurityTrust �E�H�b�`�v�o�b�N�i���o�[

Copyright © ITmedia, Inc. All Rights Reserved.

'; this.insertTarget = document.querySelector('#cmsBody .subscription') || document.querySelector('#cmsBody .inner'); }; BodyAdIMSWithCCE.prototype = Object.create(BodyAdContent.prototype); BodyAdIMSWithCCE.prototype.activate = function () { refreshGam('InArtSpecialLink'); } // global reference window.itm = itm; //entry point BodyAdEventBase.polyfill(); const bodyAdManager = BodyAdManager.getInstance(); bodyAdManager.addEventListener(BodyAdManager.EVENTS.READY, function (ev) { bodyAdManager.loadAdvertise(); }); bodyAdManager.init(); })();
�X�|���T�[����̂��m�点PR

���ڂ̃e�[�}

Microsoft WindowsőO2025
AI for GWjAO
[R[h^m[R[h Zg by IT - ITGWjArWlX̒SŊ􂷂gD
Cloud Native Central by IT - XP[uȔ\͂gD
�V�X�e���J���m�E�n�E �y�����i�r�zPR
���Ȃ��ɂ������߂̋L��PR

@IT�ɂ‚���

RSS�ɂ‚���

�A�C�e�B���f�B�AID�ɂ‚���

���[���}�K�W���o�^

��IT�̃��[���}�K�W���́A �������A���ׂĖ����ł��B���Ѓ��[���}�K�W�������w�ǂ��������B