Q&A
セキュリティ云々は決して初歩的ではないと思うのでわざわざ書かなくて良いと思います。それだけで仕事になるくらいなので。
初歩的な質問で恐縮です。
最近フォームについてのセキュリティは何を対策すればよいのかを調べております。
その中でCSRF攻撃とその対策のPHPコードを拝見いたしました。
https://techacademy.jp/magazine/19300
試しにAのサイトに上記のサイトを参考にフォームを作成し、
Bのサイトにてiframeタグを設定し、Aのサイトを埋め込んでフォームを送信したところ、
無効にすることが出来ました。
主にCSRF攻撃というのは上記の様な流れをブロックするという事でしょうか?
また、ログインフォームなら確実に必須かと存じますが、
一般ユーザーからのお問い合わせフォームにも上記の様な設定が必須なのでしょうか?
まだまだ勉強不足なので間違っている所も多いかと思いますが、
よろしくお願いいたします。
回答2件
0
ベストアンサー
試しにAのサイトに上記のサイトを参考にフォームを作成し、
Bのサイトにてiframeタグを設定し、Aのサイトを埋め込んでフォームを送信したところ、
無効にすることが出来ました。
無効とは「攻撃を無効化できた」という意味でしょうか。その前に、未対策のフォームで攻撃が成立することを確認しましたか?
主にCSRF攻撃というのは上記の様な流れをブロックするという事でしょうか?
「上記のような流れ」が曖昧ですが、参照された記事の攻撃はCSRFです。というか、CSRFと書いてありますからね…
また、ログインフォームなら確実に必須かと存じますが、
「ログインフォーム」なら対策は必須ではありませんが、ログイン後の更新系処理なら必須です。
一般ユーザーからのお問い合わせフォームにも上記の様な設定が必須なのでしょうか?
必須ではありませんが、以下の事件の「東京都男性AのPC遠隔操作事件」はCSRF攻撃によるものと報道されています。この際、サイト側の責任は問われませんでしたが、このような悲惨な事件に悪用されると嫌だなと思う人は多いと思います。大学生だった男性Aは、なりすまし犯人にされて大学を中退したそうです。後に名誉は回復されましたが、人生を巻き戻すことは当然できません。
投稿2021/12/24 13:25
総合スコア11705
0
偽装リクエスト送信する仕組みがCSRFなので●●はしなくて良い というのはないと思って良いです。
サーバーへのリクエストが発生する箇所は一通り必要と認識して差し支えないです。
色々問題があったテックアカデミーよりも、Qiitaなどで評価の高めの記事を確認されたほうが「そもそもどういう脅威でどういう対策が必要なのか」が分かると思います。
これで完璧!今さら振り返る CSRF 対策と同一オリジンポリシーの基礎
Web API の CSRF 対策まとめ【追記あり】
投稿2021/12/24 10:04
編集2021/12/24 10:11総合スコア80875
あなたの回答
tips
プレビュー
