基本的なWebセキュリティ その3

私が編集支援している古庄親方のコラム「基本的なWebセキュリティ その3」が鈴与シンワートで公開されています。
興味がある方はご覧ください。
--
前々回は「パスワードの保存方法」、前回は「SQLインジェクション」と「XSS」という、極めてポピュラーかつ有名な脆弱性について簡単にお話をしていきました。
あともう少しだけ「ありがちな脆弱性」についてお話をしていきましょう。

少し仕組みが厄介なのですが、対応が重要なものにCSRF(Cross-Site Request Forgeries)があります。クロスサイトリクエストフォージェリ、と呼称します。
「ぼくはまちちゃん」で、もしかすると覚えてらっしゃる方がいるかもしれません。或いは「犯罪予告をした、とされての誤認逮捕(パソコン遠隔操作事件)」といってピンと来る方がいらっしゃるかもしれません。
CSRFは、端的には「正規のユーザが、自分の意図に反して一定のリクエストを強要されてしまう」脆弱性です。
これは「ログインが必要なサービス」だけではなく、「特にログインがないサービス」でも発生する、のは、上述の「犯罪予告をした、とされての誤認逮捕」ですでに行われている事柄になります。

こちらの対応は、上述の2つと比べると「比較的出来ていない事も多い」ように思われます。
しかし場合によっては、実際に「誤認逮捕」のような実害も出ているものなので、しっかりと対応をする必要があります。

（この続きは以下をご覧ください）
https://s-port.shinwart.com/tech-column/web04/