CSRFとかどうなのよ

※最初に書いておきますが、今回の内容はWeb開発者とかその辺の関係の人以外は読んでも分からないと思います。
逆にその辺の関係の人は読んでコメントもらえると嬉しいです。
（自分一人の頭では限界が・・・ｗ）

高木浩光＠自宅の日記 - WASFで三井住友銀行におけるS/MIME運用経験のご講演

↑にあるように、今週の金曜日にWASフォーラムがあります。
平日なので参加できないんですが、興味はあります。（てか、次回あったら有休使ってでも参加しよかな・・・）

WASフォーラムmixi支店でも紹介されていたので開催されることは知っていたんですが、WebApplicationSecurityフォーラムのサイトでコンファレンスのアジェンダをよくよく見てみると『CSRFとSession Fixationの諸問題について』ってのがありました。

んで、考えてみるとCSRFって名前は知ってるけど、具体的にどういうものかとか対処法は？みたいなところを詳しく知らなかったんで、こりゃまずいかな、と思って色々と調べてます。
とりあえずどういう問題か、みたいなのは分かりました。でも、色々と対策として挙げられている内容のどれが正しくてどれが間違っている（抜け道がある）のか、みたいなのが分かりにくい・・・
CSRFの対策としてはOKだけど、それだとCSSXSSが絡むと脆弱性になるよね、とか。
そもそもCSSXSSの抜本的な対策は難しいのか？とか。（←まぁ、IEの脆弱性らしいので本来アプリ側で対処するものじゃないんでしょうけど）

とりあえずいろんなサイトを見て回って情報を集めているところです。
まとまったらここでも自分が理解した内容を書いてみたいと思いますが、この辺の内容に詳しい方はコメントしてもらえると嬉しいです。
冒頭でも書きましたが、いくらサイトを見て回って情報を集めたとはいえ、自分の頭で考えただけでは抜けとかありそうなので・・・

ちゅーか、実際Webシステム作って4年目の人間がこの程度の知識ってことは、周りのシステム屋さんにはこーゆーの知らない人もいっぱいいそうだなぁとか思ったり。
（個人的に今までそこまで考慮しなきゃいけないシステム作ったことがないってのもありますが。）