  |
ドアには普通の鍵でいいから金庫の鍵だけはもうすこししっかりしてねという所感。
特にブログなんて公開するためのものだから、お店のドアが鍵だらけっていうのもどうなのかな。
JavaScriptを許せば普通の鍵を知らないうちに開けることができる。コメントやブックマークを勝手にさせてデマを流したり混乱させたりできる。それらを撒き餌にすれば効率的に釣れるようになるだろう。
それだけじゃない。たとえばリンクをたどった時、実際に飛ばずにバックグラウンドで内容を取得、内容を書き換えて表示なんてこともできるだろう。これでアフェリエイトIDを書き換えればサーバに手を加える必要もない。
そんなこと今でも出来る?JavaScriptを使うのは簡単にできるから?
たしかにそうかも知れない。しかし、それはそれで重要なことだ。簡単に出来るということは出来る人が増えるということでもある。手間がかからないということはやろうとする人が増えるということでもある。そうなれば攻撃にあう可能性も高まる。被害が発生する可能性も高まる。悪事の敷居は下げない方がよい。
ま、これらはいずれも安全生と利便生のバランスの問題だから、将来的には使えるのが当たり前になるかも知れない。はてながそれに挑戦するのもありかも知れない。
ただあれだ、私は保守的なのだ。
というか、今回のようなケースは別にCSRFでなくてもいいような気がする。 というか、はてなってGetとPOSTをあんま区別してないよね。 ログインとかもGETで通ったりするし。 img src="うんち...
というかいっそJavaSript許して欲しくない? ガチガチに固める理由がわからない。 お金絡むからなのかな? だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。 はまちちゃ.
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。 捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。 http://anond
ドアには普通の鍵でいいから金庫の鍵だけはもうすこししっかりしてねという所感。 特にブログなんて公開するためのものだから、お店のドアが鍵だらけっていうのもどうなのかな。 悪い
8
