Q&A
連続クリックの阻止にdisabled使ってました・・・ 連続送信処理もサーバ側で対応すべきなんでしょうね
自分もよく開発時には使うのですが、elements(要素)を直接いじれるモードがありますよね?なんとなく自分のサイトの要素をいじくりまわしていたらdisabledが容易に削除(解除)できてしまうことに気づきました。自分は結構ボタンをクリックさせないようにするためにdisabledを使っていたのですが、これってセキュリティ的に危ないんでしょうか?
回答4件
0
ベストアンサー
disableが解除されることが問題というよりは、クライアントから送信されるリクエストパラメータは基本的に偽装はいくらでも可能なので
すべて疑ってかかる(=サーバ側の処理で正当性のチェックを行う)が基本だと思います
少しでも知識がある人ならHTMLソースからパラメータ名を拾ってきてcurlコマンドなどでリクエスト偽装することは可能ですので
以前に見たことのある障害で、hiddenで持ちまわっているパラメータ値を無チェックで信頼し
リクエストパラメータの偽装で簡単にユーザを乗っ取れる、といったようなシステムもあったりしたので・・・
投稿2017/05/12 10:32
総合スコア38
0
セキュリテイ的な観点で見た時、クライアントサイドに渡したデータは制限出来ないものとして見なす必要があります。
今回の件でいうと、「disabled」というデータが、ユーザの操作サポートであるとか、表示制御と言った利便性の向上に使われているのであれば問題なく、何かの制限(例えば、連続投稿を制限するとか)の意図で使われていると、問題が発生します。
「disabled」の使用意図によるので、使用方法を明確にすると、もう少し具体的な回答がつくと思います。
投稿2017/05/12 11:20
退会済みユーザー
総合スコア0
クリックと連続投稿を直結させると話がよくわからなくなります。
クリックしなくても投稿はできるし、クリックできるように解除も出来ます。
その為、連続投稿の制限は、サーバ側で実施すべきです。
本質的には、サーバ側は受け取ったデータを信用せず、0から検証するのが正しいです。
補足ですが、クリックの制御は操作サポートになるので、それはそれで継続したほうが良いと思います。
0
サーバ側で入力を検査して対策してあれば問題ないです。
「セキュリティ」を考える場合には、攻撃者と対象者、その攻撃による不利益、をはっきりとさせて考えると良いかと思います。
この場合、攻撃者はユーザで、対象者がサーバ側、この場合の不利益は、サーバ側に意図しないデータを登録される可能性がある、という感じかと思います。
投稿2017/05/12 09:24
総合スコア1305
わかりやすい説明感謝です!
0
危ないです。
例えば、
不正な値を紛れ込ませてdisabledを解除してデータを送信される可能性があり、
SQLインジェクションやXSSのような攻撃を受ける可能性があります。
サーバーサイド側で送信された値が問題ないかはしっかりチェックするようにすべきです。
投稿2017/05/12 09:23
総合スコア89
サーバー側のチェック見直してみます!ありがとうございます!
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/05/15 05:15