回答編集履歴
1
a
test
CHANGED
@@ -1,18 +1,16 @@
|
|
1
|
-
|
1
|
+
【TLS暗号化を行っている場合】
|
2
|
-
|
3
|
-
|
4
2
|
|
5
3
|
XSSなどの脆弱性が無い限り,基本的にセッションIDやCSRFトークンが外部に漏れることは無いので固定トークンで十分です.
|
6
4
|
|
7
5
|
|
8
6
|
|
9
|
-
|
7
|
+
【TLS暗号化を行っていない場合】
|
10
|
-
|
11
|
-
|
12
8
|
|
13
9
|
固定トークンの場合CSRFを受ける可能性が上がるでしょう.**しかしCSRFトークンだけでなくセッションIDも漏れている状態なので,攻撃者はCSRFなんて回りくどいことをせず直接セッションIDで乗っ取りを行うはずです.**但しログインを行わない匿名掲示板においては,セッションIDは重要な情報ではなくCSRFだけを防げればいいため,CSRFトークンを可変にすることでセキュリティが向上するでしょう.
|
14
10
|
|
15
11
|
|
12
|
+
|
13
|
+
【まとめ】
|
16
14
|
|
17
15
|
TLS暗号化あり: 固定トークンで十分
|
18
16
|
|