質問編集履歴
3
追記文を記入しました
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -103,3 +103,13 @@
|
|
|
103
103
|
1点目と2点目では、ハッカーはブラウザ操作に縛られることなくリクエスト処理の偽造によりどうとでも出来てしまう為、3点目のトークンのランダム生成と,4点目の利用者の入力動作に条件を与える事で対策を考えていました。
|
|
104
104
|
|
|
105
105
|
4点目の条件ではサイト表示端末によっては適応が難しいといった課題が有ります。また、一度検討したマウス操作履歴をデータベースに格納し全く同じものが無いか確認する必要が有る為、管理コストとデータベース検索の時間があまり実用的ではないとゆう課題も有ります。
|
|
106
|
+
|
|
107
|
+
|
|
108
|
+
|
|
109
|
+
|
|
110
|
+
|
|
111
|
+
あと、私はSNSのイイネボタンの仕組みを把握しているわけではないので、そもそもこれら対策の目の付け所自体が間違っているかもしれません、その際は目の付け所が違うと一括いただけたらと思います。
|
|
112
|
+
|
|
113
|
+
|
|
114
|
+
|
|
115
|
+
ご教授の程よろしくお願い致します。
|
2
追記を記入しました。
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -27,3 +27,79 @@
|
|
|
27
27
|
|
|
28
28
|
|
|
29
29
|
こちらの対策を取り入れるにはどのようなものが考えられますでしょうか?
|
|
30
|
+
|
|
31
|
+
|
|
32
|
+
|
|
33
|
+
|
|
34
|
+
|
|
35
|
+
追記:
|
|
36
|
+
|
|
37
|
+
|
|
38
|
+
|
|
39
|
+
質問文の解決したい内容が明確ではなかった為補足させていただきます。
|
|
40
|
+
|
|
41
|
+
|
|
42
|
+
|
|
43
|
+
|
|
44
|
+
|
|
45
|
+
------------------------------------------------------------
|
|
46
|
+
|
|
47
|
+
|
|
48
|
+
|
|
49
|
+
解決したい目標としましてはSNSのサービス不正利用の防止です。これはSNS機能をサイト内に埋め込む利用者側の視点とゆうよりはSNS運営側から見た対策になります。
|
|
50
|
+
|
|
51
|
+
|
|
52
|
+
|
|
53
|
+
> ・サイト閲覧者の意図しないイイネクリック防止
|
|
54
|
+
|
|
55
|
+
> ・CSRF攻撃によるブラウザ操作を必要としないイイネクリックの防止
|
|
56
|
+
|
|
57
|
+
|
|
58
|
+
|
|
59
|
+
|
|
60
|
+
|
|
61
|
+
|
|
62
|
+
|
|
63
|
+
考えた対策方法としては以下のようなものになります。
|
|
64
|
+
|
|
65
|
+
> ・イイネボタンのCSSレイアウトに問題が無いか検討する
|
|
66
|
+
|
|
67
|
+
> ・トークンの埋め込みによるサイト側からのリクエスト確認
|
|
68
|
+
|
|
69
|
+
> ・サイト埋め込みトークン名のランダム生成
|
|
70
|
+
|
|
71
|
+
> ・リクエストにユーザのマウス操作履歴を格納する
|
|
72
|
+
|
|
73
|
+
|
|
74
|
+
|
|
75
|
+
|
|
76
|
+
|
|
77
|
+
・CSSレイアウトの検討についてはJavascriptによりイイネボタンのOpacityチェックや他DOM要素の重なりを検討し、正しい配置がされているかチェックするとゆうものです
|
|
78
|
+
|
|
79
|
+
|
|
80
|
+
|
|
81
|
+
|
|
82
|
+
|
|
83
|
+
・トークンの埋め込みについてはSNSサーバー側で正常に生成されたイイネボタンかチェックをするとゆう意味が有ります
|
|
84
|
+
|
|
85
|
+
|
|
86
|
+
|
|
87
|
+
|
|
88
|
+
|
|
89
|
+
・トークン名のランダム生成については、hidden要素のnameをランダムに生成する事でハッキングを試みる際に必要tokenを把握させないとゆうものです。サーバー側で不定期にトークン埋め込み用input要素のname属性を変更する事でトークンの不正取得を防ぎます。
|
|
90
|
+
|
|
91
|
+
|
|
92
|
+
|
|
93
|
+
|
|
94
|
+
|
|
95
|
+
・マウス操作履歴については、MouceOverメソッド等によりコンテンツをマウスにより実際にクリックしたのか検証し、リクエストに一緒に送信する事で人間による動作を確認するものです。
|
|
96
|
+
|
|
97
|
+
|
|
98
|
+
|
|
99
|
+
|
|
100
|
+
|
|
101
|
+
|
|
102
|
+
|
|
103
|
+
1点目と2点目では、ハッカーはブラウザ操作に縛られることなくリクエスト処理の偽造によりどうとでも出来てしまう為、3点目のトークンのランダム生成と,4点目の利用者の入力動作に条件を与える事で対策を考えていました。
|
|
104
|
+
|
|
105
|
+
4点目の条件ではサイト表示端末によっては適応が難しいといった課題が有ります。また、一度検討したマウス操作履歴をデータベースに格納し全く同じものが無いか確認する必要が有る為、管理コストとデータベース検索の時間があまり実用的ではないとゆう課題も有ります。
|
1
修正
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -20,7 +20,7 @@
|
|
|
20
20
|
|
|
21
21
|
|
|
22
22
|
|
|
23
|
-
その対策の一環としてボタン設置にはSNS側のデベロッパーアカウントが必要であり開発者KEYがイイネボタンの設置に不可欠となってはいると思いますが、近年では有名なSNSボタンを設置しているサイトは多いため、問い合わせページやサイトフッター等を見渡せば、他のページから開発者KEYを取得する事が可能な環境が多数
|
|
23
|
+
その対策の一環としてボタン設置にはSNS側のデベロッパーアカウントが必要であり開発者KEYがイイネボタンの設置に不可欠となってはいると思いますが、近年では有名なSNSボタンを設置しているサイトは多いため、問い合わせページやサイトフッター等を見渡せば、他のページから開発者KEYを取得する事が可能な環境が多数です。
|
|
24
24
|
|
|
25
25
|
|
|
26
26
|
|