4/24/2005

はまちちゃん問題とReST

CSRFっていうんですかへー。

GETでリソースを操作できてしまうことが問題なんですよね...。例えばIMGタグを許容する場所でGETによるリソース操作可能URLをsrc=に貼っとけば、表示と同時にリソースが操作されてしまうわけで。ReSTですとかいっていて、実はGETでリソースを操作してしまう「API」ってたくさんあるんですよね...。あー耳が痛い。まあPOSTにすれば無問題なわけではないけど、少なくともIMGだのIFRAMEだのSCRIPTだので、貼っただけで呼び出されることが確定することはないわけで。

WebサイトではPOSTを使っていても、意外と同じクエリ文字列をGETで送っても通ってしまう実装ってたくさんあるんで、この手の問題って今後も増えていくんだろうなぁ。あー耳が痛い。

2 件のコメント:

tsupo さんのコメント...

「WebサイトではPOSTを使っていても、意外と同じクエリ文字列をGETで送っても通ってしまう実装」がまずいのは確かなのですが、「はまちちゃん」の改良版(?) ver.3 が POST を使って攻撃していました。他サイトに設置した form からの POST リクエストを無条件で受けつけちゃうのが、今回の mixi での CSRF脆弱性問題です。

Fumiaki Yoshimatsu さんのコメント...

そうなんですね。はまちちゃんとその派生物の実物を見たことがなかったのではやとちりしました。

つまり、ログイン状態をクッキーだけで判別して、クッキー有り=無条件でPOST(GETも?)を許すのが問題だったということなんでしょうか?

Amazonみたいに、クッキーがあっても買い物するときはもう一度サインインさせるようにしておけばよかったみたいな?