クライアント側に渡されている Cookie の値が漏洩すると、第三者になりすましされてしまう可能性があります。
この動画では、まずは、実際になりすましに成功する場合のデモをお見せします。
もっとも、通常は、Cookie の内容を含め、あるドメインでの通信内容は、別ドメインのサービスは取得できないようになっています。
たとえば、 forum.pc5bai.com では、あなたの google.com でのログイン情報を得ることはできません。 google.com でも、 forum.pc5bai.com でのログイン情報を得ることはできません。
これは、セキュリティ上の事情からです。
この制約を超えるには、特殊な実装が必要です。
特殊な実装の例としては、たとえば、 forum.pc5bai.com のウェブページに含まれる JavaScript のプログラムが google.com に Session 情報を送信するとか、 forum.pc5bai.com のサーバが google.com に Session 情報を送信するとかいう方法が考えられます。
とはいえ、通常、メリットがなければ forum.pc5bai.com の管理者が google.com にそのような情報を送信するメリットがないので、そのような実装はされません。
実装側としては、まずは、信頼できないサイトが配布している JavaScript をテンプレートに埋め込まないようにしてください。
CSRF とは Cross Site Request Forgery の略。
CSRF 対策を行っていないサイトに対しては、別サイトから、他人を装って不正なリクエストを発行することができます。
本動画では、CSRF 脆弱性をついた不正なアクセスのデモをお見せします。
そのうえで、 Django に標準的に実装されている CSRF 対策の仕組みについて説明します。
(講師の小川が風邪気味なので聞き苦しいことがあります)
この動画では、まずは、実際になりすましに成功する場合のデモをお見せします。
もっとも、通常は、Cookie の内容を含め、あるドメインでの通信内容は、別ドメインのサービスは取得できないようになっています。
たとえば、 forum.pc5bai.com では、あなたの google.com でのログイン情報を得ることはできません。 google.com でも、 forum.pc5bai.com でのログイン情報を得ることはできません。
これは、セキュリティ上の事情からです。
この制約を超えるには、特殊な実装が必要です。
特殊な実装の例としては、たとえば、 forum.pc5bai.com のウェブページに含まれる JavaScript のプログラムが google.com に Session 情報を送信するとか、 forum.pc5bai.com のサーバが google.com に Session 情報を送信するとかいう方法が考えられます。
とはいえ、通常、メリットがなければ forum.pc5bai.com の管理者が google.com にそのような情報を送信するメリットがないので、そのような実装はされません。
実装側としては、まずは、信頼できないサイトが配布している JavaScript をテンプレートに埋め込まないようにしてください。
CSRF とは Cross Site Request Forgery の略。
CSRF 対策を行っていないサイトに対しては、別サイトから、他人を装って不正なリクエストを発行することができます。
本動画では、CSRF 脆弱性をついた不正なアクセスのデモをお見せします。
そのうえで、 Django に標準的に実装されている CSRF 対策の仕組みについて説明します。
(講師の小川が風邪気味なので聞き苦しいことがあります)
この講座を含む定額コースに参加するか、この講座を購入することで、講座を利用できるようになります。
定額コースに参加すると、そのコースの利用期間中はいつでも講座を利用できます。
講座を購入すると、いつでも講座を利用できます。
このページへの投稿/コメント
この講座は限定公開です
この動画は、購入/定額コースでの利用はできません。
学習記録としてメモを残す
重要度:
★
★
理解度:
★
★
※メモを残すにはこの講座の利用権限が必要です。
2024年04月28日 20:53
きういさん
2024年04月28日 19:20
佐々木久さん
2024年04月28日 15:34
小川慶一さん
2024年04月28日 12:07
きういさん
2024年04月28日 11:43
きういさん