mixiの「ぼくはまちちゃん!」で見えた脆弱性
mixiは都度ログアウトしたほうがいいようです。
mixiにて「ぼくはまちちゃん!」日記が蔓延してしまったという問題について
おれはおまえのパパじゃない — mixiではまちちゃん大発生
僕は詳しいことはよく分からんですけども、yuuさんによると「CSRF Cross Site Request Forgeries(クロスサイトリクエストフォージェリ)」という攻撃だそうです。日記作成だけならまだしも、削除とか編集とかだったらイヤですね。
ググったら出て来たページです。なかなか怖いことが書いてありますね。以下、対策です。
CSRFは正規ユーザーのログイン中に危険がありますので、サイトにログイン中はそのサイトから出ないようにし、サイトの利用が終わったら必ずログアウトすることで、少なくともあなたがCSRFの被害にあうことは防ぐことができます。複数のブラウザを使い分けるというのも有効です
今回の「ぼくはまちちゃん!」はたまたまmixi内のリンクだったわけですけども、ログアウトしない限りは他のサイト巡回中にも起きてくる問題なわけですね。面倒だな。クッキーのおかげでmixi中毒なわけだし。
投稿者 愛場大介(Daisuke AIBA / Jetdaisuke) : 2005年4月20日 13:06