tdiary 2.0.2 の CSRF 対策

Posted by yoosee on Web at 2005-07-25 23:42 JST

1 tdyary 2.0.2 の CSRF 対策

tdiary 2.0.2 に CSRF 対策が入ったようで、debian package も上がってきていたので update しておいた。tdiary で CSRF を下手に食らうと変な plugin を読み込まされて任意のコードを実行、なんて事も起こりかねないのか。

対策内容は

POSTメソッドの要求
Referrer check
固定的な hidden key

で、1 && (2 || 3) の組み合わせらしい。Referer は送らないユーザ・ブラウザもいるので微妙な気がするが、Referer を送らない人は 3 を使うと言う選択肢があるから大丈夫、と言うことか。
3 は通常はランダムな session id ないしそれ用の one time token にするもので、static な値の hidden key って見られたら終りじゃないんだろうかと思ったんだけど、この hidden key は http basic 認証通過後のユーザじゃないと基本的に見られないから大丈夫と言うことなのだろう。tdiary は元々セッション管理的な機能が無いからこうしたのかな。

( Permalink | Comments (0) | tags: security )

Comments

About W.W.Walker

World Wide Walker は yoosee による blog です。PDA, Web・サーバ技術, 美味しい食べ物などの話題を取り上げています... read more