tag:blogger.com,1999:blog-6986489.post111430036551876186..comments2023-10-09T20:44:06.426+09:00Comments on Boredom, Tiredness and Idleness: はまちちゃん問題とReSTFumiaki Yoshimatsuhttp://www.blogger.com/profile/14137598115497955293noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-6986489.post-1114479887500685082005-04-26T10:44:00.000+09:002005-04-26T10:44:00.000+09:00そうなんですね。はまちちゃんとその派生物の実物を見たことがなかったのではやとちりしました。つまり、ロ...そうなんですね。はまちちゃんとその派生物の実物を見たことがなかったのではやとちりしました。<BR/><BR/>つまり、ログイン状態をクッキーだけで判別して、クッキー有り=無条件でPOST(GETも?)を許すのが問題だったということなんでしょうか?<BR/><BR/>Amazonみたいに、クッキーがあっても買い物するときはもう一度サインインさせるようにしておけばよかったみたいな?Fumiaki Yoshimatsuhttps://www.blogger.com/profile/14137598115497955293noreply@blogger.comtag:blogger.com,1999:blog-6986489.post-1114445910660700652005-04-26T01:18:00.000+09:002005-04-26T01:18:00.000+09:00「WebサイトではPOSTを使っていても、意外と同じクエリ文字列をGETで送っても通ってしまう実装」...「WebサイトではPOSTを使っていても、意外と同じクエリ文字列をGETで送っても通ってしまう実装」がまずいのは確かなのですが、「はまちちゃん」の改良版(?) ver.3 が POST を使って攻撃していました。他サイトに設置した form からの POST リクエストを無条件で受けつけちゃうのが、今回の mixi での CSRF脆弱性問題です。Anonymousnoreply@blogger.com