HTTP OriginヘッダはCSRF対策の切り札になるんですかね

RFC 6454 - The Web Origin ConceptでHTTP Originヘッダが提案されています。CSRF対策に使われることを意図したものです。

CSRF対策方式には、すでに「秘密情報(トークン)の埋め込み」「パスワード再入力」「Refererのチェック」があります(徳丸本より)。新たなHTTPヘッダを定義してまで、方式を増やす必要があるのでしょうか。

実際、Originヘッダのドラフトが公開された際には、Roy T. Fielding先生の名言「CSRF is not a security issue for the Web.」を含め、多数の指摘がありました。ietf-http-wg@w3.orgのアーカイブで読めるので、ご興味のある方には一読をお勧めします。

提案の背景をざっとお知りになりたい方には下記のPDFが参考になるでしょう。

提案者が描いているようなバラ色の未来は本当に来るのでしょうか。もし来るのであれば、僕にとってはありがたい話です。実装が面倒でRESTにもなじまないトークン方式を使う必要も、Refererを無効にする機器やソフトを気にする必要もなくなります。どうなんでしょうね。

はてな村から引っ越してきました

module Iwamot
  def self.greet
    puts 'Hello!'
  end
end
Iwamot.greet
プロフィール

ENECHANGE株式会社VPoT兼CTO室マネージャー。AWS Community Builder (Cloud Operations)。前職はAWS Japan技術サポート。社内外を問わず開発者体験の向上に取り組んでいます

カテゴリ別アーカイブ
月別アーカイブ
ブログ内検索