上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
退職して渋谷在住無職(27)になりました。
ブログを再開します。
スポンサーサイト
 ここまでブラウザのリファラー設定を変更した(無効にした)状態を前提にしたブックマークレットを作ってきましたが、つまりブラウザの設定がリファラーを送らない設定になっている場合、CSRF攻撃が成り立つんじゃないかと思い当たりました。

例えばこんな感じで。

del.icio.usの場合は、post to del.icio.us実行後に一度確認画面を挟み、そこでランダムキーを入れるような対策をしているみたいですが、Twitterの場合は一発投稿出来てしまうのでこんな現象が起きてしまいます。

調べてみた所、既に指摘されているブログがありました。

[速報]TwitterにCSRF脆弱性あり

というわけで、これらブックマークレットを使うため(そうでなくても、リファラを送らない設定にしているユーザはいそうですが)にリファラーを送らないブラウザ設定にした場合、Twitterへの限定的なCSRFが発生する可能性があるという事をご理解ください。

続く
コンピュータが絡む話ではよくキロ・バイト、メガ・バイト、ギガ・バイトといった単位が使われます。これはSI接頭辞と呼ばれるものから来ていて、これがそもそも10進数を想定したものなので1KBと表記した時に1024バイト(2^10)なのか1000(10^3)バイトなのかが不明瞭だという問題があるのですが、2進接頭辞なるものが1998年頃、IEC(国際電気標準会議)によって承認されていたんだとか。

1000なのか1024なのか問題の存在自体は認識していましたが、2進接頭辞の存在はずっと知りませんでした。認知されなさすぎというか、別にその程度の曖昧さが問題になるケースが世の中には少なすぎるという事でしょうか。
copyright © 2005 The elephant vanishes all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。