新規登録がまだの方

下の[新規登録]ボタンを押してコミュニティに登録してください。

新規登録(無料)

登録がお済みの方はこちら

コミュ二ティポイントのご案内

詳しく見る

木漏れ日の路

木漏れ日の路>掲示板

公開 メンバー数:18人

チャットに入る

サークルに参加する

サークル内の発言を検索する

新しいトピックを立てる

サークルで活動するには参加が必要です。
「サークルに参加する」ボタンをクリックしてください。
※参加を制限しているサークルもあります。

閉じる

  • from: たけぞうさん

    2014年07月16日 08時32分43秒

    icon

    コメントがエラー

    みなさん、おはようございます

    さっきから空さんの記事にコメントしようとしても
    「CSRF」エラーとか、出てコメント出来ません
    以下にコメントを書きますね

    空さん、みなさん、おはようございます

    そうかっ、野生動物は親の縄張りから追い出されて
    新たな自分の棲む場所を確保しなければいけないんだ

    人間は、幾つになっても親元から離れない

    • コメントする

      サークルで活動するには参加が必要です。
      「サークルに参加する」ボタンをクリックしてください。
      ※参加を制限しているサークルもあります。

      閉じる

    • 2
    • 拍手する

      サークルで活動するには参加が必要です。
      「サークルに参加する」ボタンをクリックしてください。
      ※参加を制限しているサークルもあります。

      閉じる

    • 0

    icon拍手者リスト

コメント: 全2件

from: たけぞうさん

2014年07月19日 01時43分16秒

icon

空さん、詳しい解説有り難うございます

空さんの投稿にコメント入れて投稿するボタンをクリックすると
エラーが出ましたが???な状態でした
これはサーバーが出しているエラーですので
私の方からは解析不能でして、はてな?でした

  • コメントする

    サークルで活動するには参加が必要です。
    「サークルに参加する」ボタンをクリックしてください。
    ※参加を制限しているサークルもあります。

    閉じる

  • 拍手する

    サークルで活動するには参加が必要です。
    「サークルに参加する」ボタンをクリックしてください。
    ※参加を制限しているサークルもあります。

    閉じる

  • 0

icon拍手者リスト

from: 空さん

2014年07月18日 20時37分06秒

icon

たけぞうさん、皆さん、おばんです、
たけぞうさん、CSRFのエラー表示が出た時、
JAVAの警告が出てませんでしたか?
タスクバーにJAVAマークが表示されませんでしたか?
想定していない外部のサイトからのCSRFにより、
本来拒否されるべき処理を実行させる一種のウイルスだったと思います。
CSRFは私達仲間では強注意情報でした。
それは5年前でしたか、米国のある人物(名前忘れました)が警告を発していたからです。
例えば3年前でしたか、成りすましが有りましたね?それと同じと思います。

それで、ちょっと詳しく調べて見ました。
クロスサイトリクエストフォージェリ(CSRF)
例えばログイン認証が必要な掲示板や日記サービスに対して、
別のWebサイトに用意されたリンクをクリックすることで、
掲示板への投稿や退会処理など、
正規のアカウントでログインを行わなければできないような
処理が実行されてしまう。
サーバが必要とする情報が攻撃者によって予測できるもののみで
構成されている場合、この方法での攻撃が成立してしまう。
Webアプリケーション側での対策として、
リファラー(参照元)を利用しリクエストの発信元が正しいかを確認する方法や、
想定したページ遷移にて処理が行われていることをCookieを使って
確認する方法がある。
また、エンドユーザー側にてこまめにログアウトを行うことも
有効な対策となりうる。
ただしこの場合でも同一サイト内で攻撃された場合は実行されてしまうため、
不審なリンクはクリックしないなどの基本的な対応が必要である。

攻撃の仕組みの大まかな流れは、以下のようになります。
【1】攻撃者が罠を仕掛けたWebサイトを用意する。
【2】被害者が罠サイトを閲覧する。
【3】罠サイトを閲覧した被害者のPCから、
被害者がそのときアクセスするつもりのないWebサイトの掲示板などに
強制的にアクセスさせられ、コメントなどが書き込まれる。
【4】書き込まれたWebサイトの接続ログを調べると、
被害者のPCからのアクセス情報(IPアドレスなど)が記録されている。

閲覧者に意図せず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法。
ユーザはCSRFの仕込まれたサイトにアクセスすることによって、
特定の掲示板やアンケートなどに書き込まされたり、オンラインショップで買い物をさせられたりしてしまう。
ブラウザでアクセスしただけで実行されてしまうため、
ユーザが閲覧前に危険が無いかを調べて回避するのは現実的には難しい。
サーバ側でCSRFを防ぐには、サイト外からのリクエストの受信を拒否する必要がある。
ヘッダに含まれる情報を元に参照元が正規のページかどうかをチェックしたり、
フォームの一部にランダムな数値を隠しておいてアクセスの一貫性をチェックしたり、
コンピュータが読み取れないよう画像として表示したチェックコードの入力を
ユーザに要求するなどの手法があり、これらを組み合わせて対策を講じる必要がある。

  • コメントする

    サークルで活動するには参加が必要です。
    「サークルに参加する」ボタンをクリックしてください。
    ※参加を制限しているサークルもあります。

    閉じる

  • 拍手する

    サークルで活動するには参加が必要です。
    「サークルに参加する」ボタンをクリックしてください。
    ※参加を制限しているサークルもあります。

    閉じる

  • 3

icon拍手者リスト