気になった記事、クロスサイトリクエストフォージェリ、CSRFってこわいな
みなさんおはようございますー!
毎日時間が短いな、と感じる、たーきーです。
職業はあいかわらずSEをやってます。
このブログはSE的なことをログ的にメモ的に残していけたらと思い、
できるだけ頻繁に更新しようと思い、現在も文字を入力してます。
今日は、
気になる記事について書こうかと思ってます!
レンタルサーバーは、、、
まだ作ってないです。。。笑
インフラ系は好きなのですが、
もちろんコーディングも好きなのですが、
やり始めるまでが、腰が重いというか、、、
調べながらやってると色々気になってきて、
結局着手程度で終わってしまうんですよね笑
Wordpressはきっとあっさり構築できるんだろうと思ってます
問題はきっと脆弱性の対策かな、と。
そんな脆弱性のおはなしが今回気になった記事、
クロスサイトリクエストフォージェリ、について
“CSRF”=Cross-Site Request Forgeries
というらしいです。
偽物の要求を送る?みたいなことです。
これ、全然知らなくて、
最近知りました、この言葉
昔からあるみたいで、
以下のIPAで紹介されてました。
2007年の掲載記事
これ、簡単に言いますと、
SNSとか、ネットバンキングとか、
サイトにログインして何かすることがある場合に、
ログイン後の操作を誰かに勝手にされてしまうことのようです。
ログインした状態でしかできない、
・ログインメールアドレスの変更や住所変更
・振込とか振替とか
・SNSの公開設定とか
※銀行系は設定を変えるときに、本当にいいの?みたいなことや変更したことをメールアドレスに通知する機能があったりするので発覚は早いかもしれないですが
上記のようなことを、悪意のあるプログラム(おそらくURLに引数やCookieやキャッシュとかも利用するかな)が、
ログイン後の状態をいいことに勝手に色々設定をかえてしまうみたい。
あたかも自分で変えたかのようにしてしまう。
対策としては、
我々にできることは、、、
SNSやネットバンキングにログインしながら、
他のサイトを見ないことですね!!
ログインしたらその作業だけをする
これです
これで大半はOKのような気がします
私もそうしてます実際
あと、WebブラウザのキャッシュやCookieの定期的な削除
よくあるシーンとしては、
例えば、
SNS見ながら、
あっだれだれさんが紹介しているお店のURLをクリックしよー
このお店、どこの会社がやってるんだろー
あっどこの会社は別のお店もやってるー
別のお店はー、、、
のように、ネットサーフィンしていると、どんどんページ開きまくってしまいますよね
そうなってくると、サーフィンしている先に変なページがあったら
そのページに書いてあるプログラムが最初に表示しているSNSの方の
設定を変えてしまったり、、、
できそうですね!
なんだかインターネットって怖いですよね、、、
でも便利だけど、うまく使えばいいんです
私も日々勉強しながら使いこなしています、たぶん
みんなも気を付けながら、ネットサーフィンしてくださいね!^^
今日はこのくらいです(^_^)