クロスサイトリクエストフォージェリ(CSRF or XSRF)対応
クロスサイトリクエストフォージェリ(CSRF or XSRF)
正規の権限を持つユーザーに対して意図しない操作を行わせる攻撃方法です。攻撃者が、攻撃用のWeb ページや脆弱性のあるHTMLメールに悪意あるコードを仕込み、第三者がそれらにアクセスすることによってリクエストの偽造が始まることからクロスサイトリクエストフォージェリ(サイト横断のHTTPリクエスト偽造)と呼ばれています。
クロスサイトリクエストフォージェリ(CSRF or XSRF)例
ユーザーの意図しない投稿が書きこまれるという、2005年に大手SNSサイトで発生した騒動が広く知られています。その他、オンラインショップで意図しない買い物をさせられたりするなどのケースもあります。
クロスサイトリクエストフォージェリ(CSRF or XSRF)対応方法
攻撃者が、攻撃用の Web ページや脆弱性のあるHTMLメールを用意し、第三者がそれらにアクセスすることによってHTTPリクエストを送信させられる、という手順で クロスサイトリクエストフォージェリは始まります。HTTPリクエストのひとつであるCookieを使って自動的にログインするサイトは狙われやすいこともあり、注意が必要です。
ワンタイムトークンによる認証、(既にID・パスワードログインしていても)購入あるいは投稿・編集・削除などユーザーにとって重要な操作の際にはさらにパスワード認証を求める多重認証、といったサイト設計が効果的です。
業務を委託している業者は、webセキュリティに対する充分な知識と対応ノウハウを持っているでしょうか?
脆弱性を持つwebアプリケーションをインターネットに公開して被害が発生した場合、損害賠償という事態に発展することもあるかも知れません。企業の場合は信用問題にも関わってきます。
webアプリケーションを開発する以上、セキュリティを意識して適切な対応をすることは必須事項です。
制作の流れ
1 お問い合わせ
お問い合わせ・お申し込みフォームに「ご記入後、送信してください。
2 ご発注
メールやり取り・リアル打合せなどをさせていただき、双方の合意が可能な場合はメール・FAX等にて正式にご発注ください。
まずは、お問い合わせ・お申し込みフォームをご記入ください。
- お問い合わせの際はサーバーの有無、できれば契約レンタルサーバー・サーバーOS等のサーバー環境もお知らせください。
- また、必要に応じて NDA(秘密保持契約)を本契約前に締結させていただく準備もございます。
