アカウント名:
パスワード:
>iframeによるWebページ埋め込みをするアプリが著作権侵害にあたる何故…
iframe要素やimg要素での外部画像の埋め込みが著作権侵害にならないなら、ディズニーのキャラクターだろうが何だろうがWebにあるデータなら事実上自由に使えることになってしまうしかも転載と違って転送量に基づくサーバ代の従量課金はWebサイトのオーナーに押し付けられるしね
普通のWebページでも
<meta name="referrer" content="no-referrer" />
をやられたらRefererでブロックすることもできないし、アプリで localhost から参照されたらそもそもRefererは飛ばない
今の時代、リファラはどれくらい重要視されてるんだろ。
例えば非公開のapiをwebページ用に作るとしてそのアクセスにリファラのチェックを入れる?入れない?
・モダンブラウザなら、きちんと書けばリファラは必ず飛んでくるから空リファラを弾く。・アンチウイルスソフトのおせっかいでリファラを全く飛ばせない環境が無視できないレベルで存在するので、空リファラは許容する。
> アンチウイルスソフトのおせっかいでリファラを全く飛ばせない環境が無視できないレベルで存在するので、空リファラは許容する。
Refererを飛ばせない環境なんて0.1%も無いので、Refererを飛ばせない環境は無視して構いません。Refererはログイン不要のサイトでCSRFを防ぐための唯一の現実的な対策です(CSP Originは未対応環境が多すぎ)。
「アンチウイルスソフトのおせっかいで」とありますが、いつの時代の話ですか?大昔の Norton Internet Security は確かにそうですけど、今時そんなアンチウイルスソフトは皆無です。RefererはCSRF攻撃を防ぐためにセキ
えっと純粋な疑問なのですが、・ワンタイムトークンをどうやって盗むのでしょうか?・"ワンタイム"トークンの性質上、トークンを発行してから一時的にしかそのトークンは有効にはならないかと思いますが、盗んでから有効期限が終わるまでにどうやって悪意のあるページにアクセスさせるのでしょうか?・そもそもリファラは攻撃者側で書き換えられるのをご存知でしょうか?
> ・ワンタイムトークンをどうやって盗むのでしょうか?盗むのではなく、攻撃者が取得したワンタイムトークンを CSRF攻撃を行うための悪意のあるページに埋め込み、善意の第三者に送信させます。攻撃者がワンタイムトークンを取得するには、正規のページにTorなどで匿名化をしてアクセスすれば良いだけです。
> ・"ワンタイム"トークンの性質上、トークンを発行してから一時的にしかそのトークンは有効にはならないかと思いますが、盗んでから有効期限が終わるまでにどうやって悪意のあるページにアクセスさせるのでしょうか?善意の第三者が悪意のある攻撃者のページに
高木浩光氏のページ参照http://takagi-hiromitsu.jp/diary/20050427.html [takagi-hiromitsu.jp]
不適切な解説: Referer:は偽装できるので対策にならない。「攻撃者が被害者の送信するReferer: を書き換えることはできないのだから、CSRFにReferer:偽装は関係ない。」
不適切な解説: ログインなしのWebアプリケーションに対するCSRF攻撃(掲示板荒らし) を防止するには、セッションIDやワンタイムトークンを使えばよい。「Session Fixation攻撃によって回避される。」
ログイン無しのWebアプリケーションに対するCSRF攻撃は、現実的にはRefererでしか防げません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
DMCAうんぬんはともかくとして (スコア:0)
>iframeによるWebページ埋め込みをするアプリが著作権侵害にあたる
何故…
埋め込みが著作権侵害にならないと困る (スコア:0)
iframe要素やimg要素での外部画像の埋め込みが著作権侵害にならないなら、
ディズニーのキャラクターだろうが何だろうがWebにあるデータなら事実上自由に使えることになってしまう
しかも転載と違って転送量に基づくサーバ代の従量課金はWebサイトのオーナーに押し付けられるしね
普通のWebページでも
をやられたらRefererでブロックすることもできないし、
アプリで localhost から参照されたらそもそもRefererは飛ばない
Re: (スコア:0)
今の時代、リファラはどれくらい重要視されてるんだろ。
例えば非公開のapiをwebページ用に作るとしてそのアクセスにリファラのチェックを入れる?入れない?
・モダンブラウザなら、きちんと書けばリファラは必ず飛んでくるから空リファラを弾く。
・アンチウイルスソフトのおせっかいでリファラを全く飛ばせない環境が無視できないレベルで存在するので、空リファラは許容する。
空リファラは許容しちゃ駄目 (スコア:0, 参考になる)
> アンチウイルスソフトのおせっかいでリファラを全く飛ばせない環境が無視できないレベルで存在するので、空リファラは許容する。
Refererを飛ばせない環境なんて0.1%も無いので、Refererを飛ばせない環境は無視して構いません。
Refererはログイン不要のサイトでCSRFを防ぐための唯一の現実的な対策です(CSP Originは未対応環境が多すぎ)。
「アンチウイルスソフトのおせっかいで」とありますが、いつの時代の話ですか?
大昔の Norton Internet Security は確かにそうですけど、今時そんなアンチウイルスソフトは皆無です。
RefererはCSRF攻撃を防ぐためにセキ
Re: (スコア:0)
えっと純粋な疑問なのですが、
・ワンタイムトークンをどうやって盗むのでしょうか?
・"ワンタイム"トークンの性質上、トークンを発行してから一時的にしかそのトークンは有効にはならないかと思いますが、盗んでから有効期限が終わるまでにどうやって悪意のあるページにアクセスさせるのでしょうか?
・そもそもリファラは攻撃者側で書き換えられるのをご存知でしょうか?
Re: (スコア:0)
> ・ワンタイムトークンをどうやって盗むのでしょうか?
盗むのではなく、攻撃者が取得したワンタイムトークンを CSRF攻撃を行うための悪意のあるページに埋め込み、善意の第三者に送信させます。
攻撃者がワンタイムトークンを取得するには、正規のページにTorなどで匿名化をしてアクセスすれば良いだけです。
> ・"ワンタイム"トークンの性質上、トークンを発行してから一時的にしかそのトークンは有効にはならないかと思いますが、盗んでから有効期限が終わるまでにどうやって悪意のあるページにアクセスさせるのでしょうか?
善意の第三者が悪意のある攻撃者のページに
Re:空リファラは許容しちゃ駄目 (スコア:0)
高木浩光氏のページ参照
http://takagi-hiromitsu.jp/diary/20050427.html [takagi-hiromitsu.jp]
不適切な解説: Referer:は偽装できるので対策にならない。
「攻撃者が被害者の送信するReferer: を書き換えることはできないのだから、CSRFにReferer:偽装は関係ない。」
不適切な解説: ログインなしのWebアプリケーションに対するCSRF攻撃(掲示板荒らし) を防止するには、セッションIDやワンタイムトークンを使えばよい。
「Session Fixation攻撃によって回避される。」
ログイン無しのWebアプリケーションに対するCSRF攻撃は、現実的にはRefererでしか防げません。