• はてなブックマーク
  • 暮らし
  • CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
  • Twitterでシェア
  • Facebookでシェア

CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例

暮らし カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
235users がブックマーク コメント 34

    記事へのコメント34

    • 注目コメント
    • 新着コメント
    yud0ly115
    “徳丸浩”

    その他
    lequinharay
    ワンタイムにするためにシードの生成ルールが単純になっちゃうみたいな話かなー。パスワードを定期変更させると、パスワードがどんどん簡単になっちゃう的な話を連想した。

    その他
    moerrari
    パーフェクトPHPに記載されたCSRF対策に潜む脆弱性について。

    その他
    purazumakoi
    ワンタイムトークン

    その他
    luccafort
    うーん、タイトルの書き方だとワンタイムパスワードを設定することによって脆弱になるみたいに思えるけど実際はロジックの問題だからちょっと違うんじゃねえの?と思ったらコメに同じこと書いてた。

    その他
    Hash
    ぱーぺち本

    その他
    k-holy
    徳丸本に頼りっきりでブクマしてなかったので

    その他
    labunix
    CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例 - 徳丸浩の日記:

    その他
    tsupo
    『辞書にのっているような単語を「乱数の種」に使ってしまうと、現実的な時間内に「種」が解読され、CSRF攻撃される可能性がある』

    その他
    Cherenkov
    token

    その他
    saka39
    「トークン生成は安全な乱数を用いるべきであり、安全な疑似乱数生成器がない場合は、セッションIDそのものを使う方法が妥当」

    その他
    efcl
    マイクロ秒の値を総当りしてseedを推定すると聞いて,1996年に発表されたNetscapeNavigator(ver1.1)の擬似乱数生成への攻撃

    その他
    mumincacao
    わんたいむ性が必要なのは CSRF 対策よりも多重さぶみっと対策かなぁ? 【sha1(uniqid($salt, true))】ヾ(・ω【みかん

    その他
    raimon49
    IPAの資料ではCSRF対策のトークンにワンタイム性を要求しておらず、第三者に予測困難であることと書かれており、推測困難性を求めるのであれば、もともと第三者による推測が困難なセッションIDをもとに別のIDを生成しま

    その他
    bufferings
    ふむー。

    その他
    hiro_y
    「CSRF対策のトークンの必須要件は「第三者から推測が困難」という推測困難性だけです」時刻を元にしているトークンの生成は危険。

    その他
    fukken
    セキュリティ周りはややっこしいけど、web系ではなかなかない「考えてる感」のある作業。いや、考えないで既存の解決策を使えるならそれが堅牢性的にもベストなんだけど

    その他
    Kwappa
    めも。あとで実物とつきあわせる。

    その他
    t-murachi
    そもそもシステム時計が本当にマイクロ秒の精度で時刻を刻んでくれているのかどうかも結構怪しいもんだしなぁー。

    その他
    co3k
    「一番確実な方法は両者を併用することです」/立ち読みしたときに対策方法がなぜ対策になるかの説明が充分じゃないなあと思ったのを思い出した。

    その他
    hidehish
    見てる:

    その他
    IwamotoTakashi
    なんで「安全なウェブサイトの作り方」に反する方法を選んだんだろう

    その他
    rightgo09
    パーフェクトPHPに対する指摘

    その他
    tomotaka-ito
    secretをめちゃくちゃ長くしたり時間情報をビット操作やかけ算とかすればいいかもしれない?

    その他
    syuu1228
    Surfing: "CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例 - 徳丸浩の日記"

    その他
    higher_tomorrow
    ちょうどブログに書いていた話題。疑似乱数はなるたけ生成したくない。

    その他
    ShiroKappa
    後で読む

    その他
    n2s
    素人が生成する乱数が危険なのはその通りですが、セッションIDなら絶対に大丈夫とされる根拠は何でしょうか>id:ockeghem / Classic ASPだとセッションIDはアプリ側で取得できなかったような…この場合はどうするんだろ。

    その他
    msakamoto-sf
    CSRF対策に使うトークン生成の注意点

    その他
    field_combat
    ハッシュ化しても、元の文字列が推測しやすい場合は要注意。日付、一般的な英単語など

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例

    補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブはてなブックマーク1、はてなブック...

    ブックマークしたユーザー

    • techtech05212023/10/19 techtech0521
    • dozo2022/11/20 dozo
    • emmeleia2020/08/11 emmeleia
    • shunwitter2019/11/01 shunwitter
    • you219792018/04/26 you21979
    • yud0ly1152018/04/09 yud0ly115
    • int1282017/10/05 int128
    • masudaK2017/10/05 masudaK
    • naventus2017/08/15 naventus
    • ryamamoto2017/04/21 ryamamoto
    • nishioka382017/04/20 nishioka38
    • b79682017/03/30 b7968
    • nitamago_monster2016/12/25 nitamago_monster
    • karahiyo2016/10/19 karahiyo
    • ackintosh2016/07/20 ackintosh
    • array08_122016/05/20 array08_12
    • a-know2016/05/20 a-know
    • mrkn2016/05/20 mrkn
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - 暮らし

    いま人気の記事 - 暮らしをもっと読む

    新着記事 - 暮らし

    新着記事 - 暮らしをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.