セッション情報がハイジャックされても、フォームのjavascript をつかって不正を防ぐ方法が、奥一穂さんのブログのどこかにあったような気がします。それらしいものご存知の方お願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/08/24 10:31:08
  • 終了:2006/08/25 08:41:12

回答(2件)

id:tfujiyama No.1

tfujiyama回答回数216ベストアンサー獲得回数102006/08/24 10:55:25

ポイント25pt

例えばネットサービスのログイン後に、セッションをハイジャックされ、不正取引が行われてしまう事例が海外で発生しています。

ログインの認証をパスワード生成機を使って、いくら強固にしてもこのセッションハイジャックの対策にはならないのですが、下記のような対策が出始めていますので、ご参考にしてください。


セッションハイジャックされたあとは、事前に仕込まれたスクリプトで、端末操作がサクサク行われていくのですが、その場合は、通常の人間が入力するスピードとは大きく異なります。

この違いを見極める技術として、「リスクベース認証」という技術があり、例えば、利用者の通常のキーストロークの間隔を学習しておき、明らかに、その間隔と異なるリクエストであれば、イレギュラーに認証(パスワード等)を求めることにより、スクリプト実行を停止させることができます。

RSAやベリサインですでにサービス提供されていますが、NECでも最近同様のシステムが提供されています。

http://www.itmedia.co.jp/enterprise/articles/0603/24/news045...

id:isogaya

面白いですね。ただ、求めているのは、javascript 使って、ブラウザ情報などを送ってもらう仕掛けだったような気がします。

2006/08/24 12:58:14
id:donkai No.2

donkai回答回数12ベストアンサー獲得回数02006/08/24 18:02:33

ポイント45pt

奥一穂さんというよりは、cybouzu.labのblogだと思いますが、

http://labs.cybozu.co.jp/blog/kazuho/archives/2006/04/csrf_j...

から始まって

http://labs.cybozu.co.jp/blog/hata/archives/2006-06-09-1.htm...

で発展しているエントリーだと思います。


まとめは

http://takagi-hiromitsu.jp/diary/20050427.html

http://takagi-hiromitsu.jp/diary/20060409.html

のあたりでしょうか。

id:isogaya

これでしたありがとうございます。

2006/08/25 08:40:43

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません