CSRFについて その1

※前回に引き続き、Web開発あたりの業界にいない人には関係ない内容です。
プログラムって何？って人は読まない方がいいですよ。時間を無駄にしますｗ

まだまだ調べてます。
CSRF(クロスサイトリクエストフォージェリ)ですが、だいたいこんな対策でいいのかなってのが分かってきました。
ただ、この対策はいいのか？とか、ダメな理由は？とかいう細かいところが追いついてないというか、自分の中でまとめ切れていない感があります。

なんか根の深い問題だなぁ、とか思ってみる。
（これって分かってて当然なこと、とかじゃないよね。だったら俺はとんだ恥さらしになってしまうけどｗ）

とりあえず、今まで参考にしたページとかを挙げてみる。

＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃
とりあえず@ITから。ただ、こういう記事って@ITでも信用できなことが多いから鬱だ。

高木浩光＠自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか？
セキュリティといったら高木さんとこでしょってことで。

高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法
さらに高木さんの日記から。これで正しい対策方法って書かれると、じゃあそれでって気になるけど、この辺からCSSXSSが絡んでくるんで困ったもんです。

おさかなラボ / Blog Archive / [CSRF]高木氏のエントリへの返答
上記高木さんのエントリへの返答ってか反論？
何が正しいかをちゃんと判断できないとネットって使えないよね・・・orz
（誰が正しいんだ・・・）

開発者のための正しいCSRF対策
まだちゃんと読めていないけれど、おそらく一番まとまっているはず。
ちゃんとできればこのワンタイムトークンでの対策が一番・・・なのかな？ただ、高木さんところの日記の内容が気になるんで、そっちと合わせて考えないといけないか。

みんなのHappyコミュニティ！ freeml[フリー・エムエル] - ML情報ページ [Sea Surfers ML]
↑の人も参加しているCSRFのためのメーリングリスト。入ろうかな。今はまだ入ってないんだけど。
参加しなくても過去の内容は読めるしね・・・
MLの説明を読むと、

ウェブアプリケーションに対する攻撃手法の一種であるCSRF(Cross Site Request Forgeries)はその複雑さから正しい対策方法が確立されておらず、ウェブサイトや書籍などで情報の混乱が見られます。このメーリングリストの主な目的はこの混乱を解決することです。

やっぱ難しいんだよね。うん。俺だけ頭悪いんじゃないよね・・・
でも、開設日が今年の3月なわけだけれど、今は対策が確立されたって考えていいのかな？
まだ混乱はしているみたいだけどｗ

スラッシュドット ジャパン | 正しいCSRF対策、してますか？
おそらく上に貼っているページへはここに全部リンクあるんじゃなかろうかと思うｗ
議論の場でもあるし、まとまっていると思う。まだ全部は読めていないのが問題ではあるけれど。

一応、今のところ参考にしたサイトはこのくらい。
あと、CSRFと並んで必ず出てくる、CSSXSSについてもちょっと貼っておく。

いしなお! - なぜCSSXSSに抜本的に対策をとることが難しいか

■続報：IE：新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ【さらに】参りましたね。

とりあえず、引き続き調べていきます。
つか、上記のリンク先を全部読むのが先決だな。
会社がらみでやることがいっぱいあるからなかなか進まないよぅ・・・