金利0無利息キャッシング – キャッシングできます

 | 

2013-03-04

カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて

19:25 | カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます

について。

これはsame originからじゃないとカスタムヘッダの付与ができないよ、ということに依存したCSRF対策ということになります。

ブラウザプラグインの実装がバグってて、色々組み合わせることでクロスドメインでカスタムヘッダの付与が出来てしまうという可能性はあります。最近もそんなのを見かけましたが、POSTかつカスタムヘッダ付与というのは見てないです。POSTで出来たらクリティカルバグだと見なされるはずです。今すぐ直せって感じになります。

X-Requested-With検証するのと似たような感じですが、X-Requested-Withを検証するというのは、どちらかというとJSON Hijack対策とか、XMLHttpRequestから来るリクエストかどうか保証したいとかで、あんまり通常のフォーム送信の置き換えやCSRF対策といった文脈ではあまり言及されていないように思います。

で、過去にこれ危険なことあるので使っちゃダメ、みたいな感じで言及されていたりします。ただよくよくみると、これはFlashがクロスドメインでカスタムヘッダの付与が出来るので危ないよ、という話なんですね。

参考文献:

上書きできないヘッダ(リファラ等)が上書きできちゃうとマズイし、CORSのヘッダやポリシーファイルが無いのにクロスドメインでカスタムヘッダ付与できちゃうのもマズイよ、というのが現状。

クロスドメインでリクエストを発行できるようなブラウザプラグインは、CORSと同等のポリシーを持つべきです。全てのプラグインがクロスドメインでカスタムヘッダ付加を禁止してくれてるとは限らないので、そういう意味では安心して使えない、ということになりますが、CORSが出来てその辺のポリシーが明確になってるからもう使っていいんじゃねーの、クロスドメインカスタムヘッダ付与が勝手に出来たらプラグイン側のバグだよね、って言える土壌ができている、といえるんじゃないでしょうか。

古いFlashプラグイン使ってたらその時点で、その人は全サイト安全に使うことが出来ないし、俺達はいつまで古いFlashプラグインが使われたいた場合には危険だから、と言い続けなければいけないんだ。古いFlashプラグイン入ってる時点で危険だろ。セッション持ちたくないとかCookie使いたくないようなケースは多くあるでしょうし、まずリファラを見て、リファラが無いのであればJavaScript有効にしてください、といった具合に、あまりユーザーに不便をかけずにCSRF対策が行えるんじゃないでしょうか。

人間が送ることを保証したい(botによる投稿を抑止したい)のであればどっちみちCAPTCHAが必要ですし、犯行予告を送った人間を逮捕していいということを保証したいのであれば、身分証明書をFAXで送らせるとか郵送で仮パスワードを発行するとか、クレジットカード登録させた上でVプリカは弾くとか、Torexitノードは全部ブロックするとか、いずれかあるいは全部を行う必要があります。

JulianJulian2013/09/30 13:06You keep it up now, unnsdetard? Really good to know.

IlyaseIlyase2013/10/01 18:00Your article <a href="http://aejjbdjhr.com">peelrctfy</a> shows what I needed to know, thanks!

AssiaAssia2013/10/01 20:52I'm imsersped. You've really raised the bar with that. http://rxxekzxk.com [url=http://amssyn.com]amssyn[/url] [link=http://utmwizwu.com]utmwizwu[/link]

GalinaGalina2013/10/03 06:12Great common sense here. Wish I'd thhguot of that. http://kunrkl.com [url=http://dfcjldqpy.com]dfcjldqpy[/url] [link=http://eeijrz.com]eeijrz[/link]

トラックバック - http://subtech.g.hatena.ne.jp/mala/20130304
 |