[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!

第4回 CSRF対策完結編~トークンでトークしよう!

初出:WEB+DB PRESS Vol.47(2008年10月24日発売)

CSRF

この記事を読むのに必要な時間:およそ 1 分

<前回のお話> プログラミング未経験(14歳)とは思えない抜群のセンスを発揮しだしたわかばちゃん。しかし,次々に繰り出したCSRF対策も,はまちちゃんにことごとく跳ね返されてしまいます。それじゃ,いったいどうすれば…!? 気になるCSRF対策完結編のはじまりはじまり!

登場人物紹介

はまちちゃん
さわやか笑顔のスーパーハカー。時折見せる憂いを帯びた瞳の奥に映っているのは,きっとあなたの脆弱性。

わかばちゃん
メガネがかわいいネット大好き14歳。だけどプログラムはちんぷんかんぷん。

画像

画像

画像

まとめ

ついに完結したCSRF編。いかがでしたか。CSRFされては困るような大事な画面では,このようにトークンと呼ばれる「合い言葉」を使って,CSRFへの対策が行われることが多いのです。トークンについての詳細はマンガでは省略していますが,イメージは掴んでいただけたでしょうか。

「トークンを使った方法」と一言で言っても,実はさまざまな実装方法があります。よく使われているのは,セッションごとに1つのトークンを発行(固定トークン⁠⁠,またはフォームの出力時に毎回トークンを発行(ワンタイムトークン)して,セッションデータへ格納しておくといった方法です。

セッション…といきなり言われても困る方もいるかもしれませんね。簡単に説明すると,これも「合い言葉」のひとつで,サーバがクライアントを識別するための手段として使われています。はじめのうちは,わかりやすく「通信のたびに毎回,ID・パスワードを送信する代わりに使う合い言葉」とでも覚えておけばイメージが掴みやすいのではないでしょうか(実際にはログインが必要のない場面でも使用します⁠⁠。

さて,次回はいよいよXSS(クロスサイトスクリプティング)編に突入です。わかばちゃんに迫り寄る怪しい黒い影… XSSであんなことやこんなことまでもが赤裸々に…! 開花しつつある幼い蕾つぼみは(以下略⁠⁠。おたのしみに!

ついに姿を現した機械伯爵 XSS…
次回,その恐るべき手口が明かされる!?

CSRF

著者プロフィール

はまちや2(通称はまちちゃん)

mixiやHatena,果てはGoogleやYahooやAmazon,そしてIEの脆弱性を突き,世の中を混乱に陥れたクラッカー。彼がmixiに放ったワームによって,CSRFという攻撃手法が一気に日の目を浴びることとなった。ユーモア溢れるキャラクターで愛され,独特のテンポでつづるブログにはファンが多い。合言葉は『こんにちはこんにちは!!』

URL:http://d.hatena.ne.jp/Hamachiya2/

竹原(たけはら)

はてなダイアリーの非公式マスコットキャラ『はてなちゃん』を,独自の可愛らしいタッチで描くことで注目されている絵師。 彼女の描くイラストは,いずれも淡い色彩で塗られているにもかかわらず,つい目を引いてしまう色使いが特徴的。 ほもだいすきな腐女子。『幕府をつくりたいのですが』(白泉社)の表紙イラスト・挿絵などを手がけた。

URL:http://mint37.net