回答編集履歴

1

a

2016/04/16 11:58

投稿

mpyw
mpyw

スコア5223

test CHANGED
@@ -1,18 +1,16 @@
1
- # TLS暗号化を行っている場合
1
+ TLS暗号化を行っている場合
2
-
3
-
4
2
 
5
3
  XSSなどの脆弱性が無い限り,基本的にセッションIDやCSRFトークンが外部に漏れることは無いので固定トークンで十分です.
6
4
 
7
5
 
8
6
 
9
- # TLS暗号化を行っていない場合
7
+ TLS暗号化を行っていない場合
10
-
11
-
12
8
 
13
9
  固定トークンの場合CSRFを受ける可能性が上がるでしょう.**しかしCSRFトークンだけでなくセッションIDも漏れている状態なので,攻撃者はCSRFなんて回りくどいことをせず直接セッションIDで乗っ取りを行うはずです.**但しログインを行わない匿名掲示板においては,セッションIDは重要な情報ではなくCSRFだけを防げればいいため,CSRFトークンを可変にすることでセキュリティが向上するでしょう.
14
10
 
15
11
 
12
+
13
+ 【まとめ】
16
14
 
17
15
  TLS暗号化あり: 固定トークンで十分
18
16