[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!
第3回 CSRFの対策法ってどんなもの?
この記事を読むのに必要な時間:およそ 0.5 分
<前回のお話> IMGタグが付いていても,それが本当に画像なのかはリクエストしてみないとわからない。巧みに「誰かにリクエストさせる」のがCSRFの手口だと知ったわかばちゃん。じゃあ,ブログサイトやSNSはどんな対策をしているの…?はまちちゃんによる前回までの説明からはじまりはじまり!
登場人物紹介
- はまちちゃん
- さわやか笑顔のスーパーハカー。時折見せる憂いを帯びた瞳の奥に映っているのは,きっとあなたの脆弱性。
- わかばちゃん
- メガネがかわいいネット大好き14歳。だけどプログラムはちんぷんかんぷん。
まとめ
一言で言うとCSRFへの対策というのは,サーバで受け取ったリクエストのデータが,正しいFORMから送信されたのものなのかをチェックするということに尽きます。今回は,わかばちゃんが思いついた,いくつかの対策方法について考えてみました。
それにしても,どの方法も不十分だったとはいえ,わかばちゃんのセンスはすごいですね。とてもプログラミング未経験(14歳)とは思えません。さて次回は,そんなわかばちゃん未経験(14歳)に大人のやり方を教え込みます。わかばちゃんの中で開花しつつある幼い蕾つぼみは,どのような形に成長し,変化してゆくのでしょうか…!おたのしみに!
はまちや2(通称はまちちゃん)
mixiやHatena,果てはGoogleやYahooやAmazon,そしてIEの脆弱性を突き,世の中を混乱に陥れたクラッカー。彼がmixiに放ったワームによって,CSRFという攻撃手法が一気に日の目を浴びることとなった。ユーモア溢れるキャラクターで愛され,独特のテンポでつづるブログにはファンが多い。合言葉は『こんにちはこんにちは!!』
竹原(たけはら)
はてなダイアリーの非公式マスコットキャラ『はてなちゃん』を,独自の可愛らしいタッチで描くことで注目されている絵師。 彼女の描くイラストは,いずれも淡い色彩で塗られているにもかかわらず,つい目を引いてしまう色使いが特徴的。 ほもだいすきな腐女子。『幕府をつくりたいのですが』(白泉社)の表紙イラスト・挿絵などを手がけた。
