クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記

2013/03/01 104 users 徳丸浩 CSRF対策 CSRF ITpro 誤認逮捕

2013年3月1日金曜日 クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される 日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合... 続きを読む

徳丸浩の日記: 属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査

2011/10/12 64 users 徳丸浩 セッショ 日記 ブラウザ 複数

2011年10月12日水曜日 属性型JPドメインと地域型JPドメインに対するCookie Monster Bug調査 属性型JPドメインと地域型JPドメインに対するCookie Monster Bugについて調査した結果、複数のブラウザにおいて、これらドメイン名に対するCookie Monster Bugがあることがわかりました。 Cookie Monster Bugによる典型的な影響は、セッショ... 続きを読む