クッã‚ーモンスターãƒã‚°ãŒã‚ã‚‹ã¨ã€IPアドレスå½è£…防æ¢ã®CSRF対ç–ãŒå›žé¿ã•ã‚Œã‚‹æ—¥çµŒLinux 2013å¹´1月å·ã«ã€Œâ€œèª¤èªé€®æ•â€ã‚’防ãWebã‚»ã‚ュリティ強化術ã€ã‚’書ãã€ãã‚ŒãŒä»Šé€±4回連載ã§ã€ITproã«è»¢è¼‰ã•ã‚Œã¾ã—ãŸã€‚ã“ã®ä¸ã§ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª(CSRF)対ç–ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã—ãŸãŒã€ã‚¯ãƒƒã‚ーモンスターãƒã‚°(Cookie Monster Bug)ãŒã‚ã‚‹å ´åˆã«å¯¾ç–ãŒå›žé¿ã•ã‚Œã‚‹ã“ã¨ã«æ°—ãŒã¤ãã¾ã—ãŸã€‚ ãã‚Œã§ã¯ã€ã©ã®ã‚ˆã†ãªå¯¾ç–ãŒæœ›ã¾ã—ã„ã‹ã‚’考ãˆã¦ã¿ã‚‹ã¨ã€ä¸ã€…難ã—ã„å•é¡Œã§ã™ã€‚以下ã€ãã®å†…容ã«ã¤ã„ã¦æ¤œè¨Žã—ã¾ã™ã€‚ 解決ã™ã¹ã課題ã®æ•´ç† 記事ã®è¶£æ—¨ã¯ã€æ˜¨å¹´ç„¡å®Ÿã®å¸‚æ°‘ã®ãƒ‘ソコンã‹ã‚‰CSRFã«ã‚ˆã‚‹çŠ¯è¡Œäºˆå‘ŠãŒæ¨ªæµœå¸‚ã®ã‚µã‚¤ãƒˆã«æ›¸ãè¾¼ã¾ã‚ŒãŸã“ã¨ã‚’å—ã‘ã¦ã€ã‚µã‚¤ãƒˆå´ã§CSRF対ç–ã‚’ã—ã¦ã€ãªã‚Šã™ã¾ã—書ãè¾¼ã¿ãŒã§ããªã„よã†ã«ã—よã†ã¨ã„ã†ã‚‚ã®ã§ã™ã€‚ãªã‚Šã™ã¾ã—ã®çŠ¯è¡Œäºˆå‘Šã«ã¯ã€CSRFã®ã»ã‹ã€ãƒžãƒ«ã‚¦ã‚§ã‚¢ã‚’用ã„る方法ã€CSRF以外ã®Webサイトã¸ã®æ”»æ’ƒæ‰‹æ³•ã‚‚ã‚ã‚‹ã®ã§ã€CSRF対ç–ã ã‘ã§å分ã¨
セッションアダプションãŒãªãã¦ã‚‚セッションフィクセイション攻撃ã¯å¯èƒ½
PHP5.5.2以é™ã®strict sessionsモードã§ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ•ã‚£ã‚¯ã‚»ã‚¤ã‚·ãƒ§ãƒ³å¯¾ç–ã¯ã©ã†ã™ã‚Œã°ã‚ˆã„ã‹
Cookieã®Domain属性㯠*指定ã—ãªã„* ãŒä¸€ç•ªå®‰å…¨
éžSSLã‹ã‚‰SSL(SSLã‹ã‚‰éžSSL)ã¸ã®sessionデータã®å—ã‘渡ã—|★ノマドワーã‚ングã«æ†§ã‚Œã¦â˜… PROJECT×9POINTS
SSLã¨éžSSLã®é–“ã®è¡Œãæ¥ã®ãƒ¡ã‚«ãƒ‹ã‚ºãƒ |★ノマドワーã‚ングã«æ†§ã‚Œã¦â˜… PROJECT×9POINTS
{{#tags}}- {{label}}
{{/tags}}