[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!

第4回CSRF対策完結編~トークンでトークしよう!

<前回のお話> プログラミング未経験(14歳)とは思えない抜群のセンスを発揮しだしたわかばちゃん。しかし、次々に繰り出したCSRF対策も、はまちちゃんにことごとく跳ね返されてしまいます。それじゃ、いったいどうすれば…!? 気になるCSRF対策完結編のはじまりはじまり!

登場人物紹介

はまちちゃん
さわやか笑顔のスーパーハカー。時折見せる憂いを帯びた瞳の奥に映っているのは、きっとあなたの脆弱性。
わかばちゃん
メガネがかわいいネット大好き14歳。だけどプログラムはちんぷんかんぷん。

画像

画像

画像

まとめ

ついに完結したCSRF編。いかがでしたか。CSRFされては困るような大事な画面では、このようにトークンと呼ばれる「合い言葉」を使って、CSRFへの対策が行われることが多いのです。トークンについての詳細はマンガでは省略していますが、イメージは掴んでいただけたでしょうか。

「トークンを使った方法」と一言で言っても、実はさまざまな実装方法があります。よく使われているのは、セッションごとに1つのトークンを発行(固定トークン⁠⁠、またはフォームの出力時に毎回トークンを発行(ワンタイムトークン)して、セッションデータへ格納しておくといった方法です。

セッション…といきなり言われても困る方もいるかもしれませんね。簡単に説明すると、これも「合い言葉」のひとつで、サーバがクライアントを識別するための手段として使われています。はじめのうちは、わかりやすく「通信のたびに毎回、ID・パスワードを送信する代わりに使う合い言葉」とでも覚えておけばイメージが掴みやすいのではないでしょうか(実際にはログインが必要のない場面でも使用します⁠⁠。

さて、次回はいよいよXSS(クロスサイトスクリプティング)編に突入です。わかばちゃんに迫り寄る怪しい黒い影… XSSであんなことやこんなことまでもが赤裸々に…! 開花しつつある幼い蕾つぼみは(以下略⁠⁠。おたのしみに!

ついに姿を現した機械伯爵 XSS…
次回、その恐るべき手口が明かされる!?

おすすめ記事

記事・ニュース一覧