« キーワード抽出のススメ (Lingua::JA::Summarize がアップデート) | メイン | Japanize 拡張機能バージョン 0.8 リリースのおしらせ »
2007年03月28日
Re: SessionSafe: Implementing XSS Immune Session Handling
SessionSafe というウェブアプリケーションの実装方式が提案されていることを知りました (via. T.Teradaの日記) 。要点をまとめると、3種類の手法を組み合わせることで、XSS 脆弱性があったとしても、同一サービスの他のページの詐取を防止しようという試み。
1) セッションID管理専用のサブドメイン
2) XSS から窃取・改ざんできない URL
3) ページごとにサブドメインを切り替える
で、提案者が「議論するんじゃなくて攻撃してみてよ :)」とおっしゃっているので、英語ブログで exploit を書いてみました。自分がこの攻撃手法を知ったのは「snippets from shinichitomita’s journal - クロスドメインでのデータ読み込みを防止するJavaScript ?」の nanto_vi さんのコメントによってなんだけど、海外でも知られてない手法だったんでしょうか。すごいなぁ。
本題の SessionSafe については、 2 が担保されない限りは特殊なセッション ID 管理手法を取る理由はないので、Typekey+ページごとのサブドメイン切り替え、といったアプローチと同等じゃないかと思いました。
投稿者 kazuho : 2007年03月28日 05:24
トラックバック
このエントリーのトラックバックURL:
http://labs.cybozu.co.jp/cgi-bin/mt-admin/mt-tbp.cgi/1164