クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される

日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合に対策が回避されることに気がつきました。 それでは、どのような対策が望ましいかを考えてみると、中々難しい問題です。以下、その内容について検討します。 解決すべき課題の整理 記事の趣旨は、昨年無実の市民のパソコンからCSRFによる犯行予告が横浜市のサイトに書き込まれたことを受けて、サイト側でCSRF対策をして、なりすまし書き込みができないようにしようというものです。なりすましの犯行予告には、CSRFのほか、マルウェアを用いる方法、CSRF以外のWebサイトへの攻撃手法もあるので、CSRF対策だけで十分と

[mmuuishikawa]

またIEか...

[kuronama2404]

"例えば、IEを避ける"

[oppara]

クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

[tmatsuu]

最近国内レジストラからも提供されてるjp.netドメインとか、あかんのちゃうかと思う。危なそうなサイトも多いしね。

[rryu]

セッション固定攻撃により攻撃者の認証済みセッションを誰かに使わせることで送信元IPアドレスを偽装する話。

[raimon49]

地域型JPドメイン + クッキーモンスターバグ　自分でログインした後に発行されたトークンを標的のブラウザに再利用

[indo01]

徳丸浩の日記: クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される

[mumincacao]

正規の SID げっとするついでにわんたいむとーくんも取得できるからなぁ・・・ REFERER -> REMOTE_ADDR のだぶるちぇっくで両方おかしかったら警告ろぐ出力ぐらい？（´・ω【みかん

[terazzo]

「トークン生成時のIPアドレスを記録する」を推す。なんだったら書き込みの表示に含める。予告自体は可能だが、攻撃者が自分で予告したのと同じ結果になるなら、なりすましをおこなうインセンティブは下げられる。

[deep_one]

『通常のCSRF対策は、被害者のログインアカウントの悪用を避ける事が目的です。』そういえばそうだな…

[nihen]

これについてはCAPTCHAは有効なのでは?CAPTCHAの状態をセッションに記憶ってなんのことだろ。

[ockeghem]

日記書いた