人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

セッション情報がハイジャックされても、フォームのjavascript をつかって不正を防ぐ方法が、奥一穂さんのブログのどこかにあったような気がします。それらしいものご存知の方お願いします。

●質問者: isogaya
●カテゴリ:コンピュータ インターネット
✍キーワード:JavaScript セッション ハイジャック 不正
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● tfujiyama
●25ポイント

例えばネットサービスのログイン後に、セッションをハイジャックされ、不正取引が行われてしまう事例が海外で発生しています。

ログインの認証をパスワード生成機を使って、いくら強固にしてもこのセッションハイジャックの対策にはならないのですが、下記のような対策が出始めていますので、ご参考にしてください。


セッションハイジャックされたあとは、事前に仕込まれたスクリプトで、端末操作がサクサク行われていくのですが、その場合は、通常の人間が入力するスピードとは大きく異なります。

この違いを見極める技術として、「リスクベース認証」という技術があり、例えば、利用者の通常のキーストロークの間隔を学習しておき、明らかに、その間隔と異なるリクエストであれば、イレギュラーに認証(パスワード等)を求めることにより、スクリプト実行を停止させることができます。

RSAやベリサインですでにサービス提供されていますが、NECでも最近同様のシステムが提供されています。

http://www.itmedia.co.jp/enterprise/articles/0603/24/news045...

◎質問者からの返答

面白いですね。ただ、求めているのは、javascript 使って、ブラウザ情報などを送ってもらう仕掛けだったような気がします。


2 ● donkai
●45ポイント

奥一穂さんというよりは、cybouzu.labのblogだと思いますが、

http://labs.cybozu.co.jp/blog/kazuho/archives/2006/04/csrf_j...

から始まって

http://labs.cybozu.co.jp/blog/hata/archives/2006-06-09-1.htm...

で発展しているエントリーだと思います。


まとめは

http://takagi-hiromitsu.jp/diary/20050427.html

http://takagi-hiromitsu.jp/diary/20060409.html

のあたりでしょうか。

◎質問者からの返答

これでしたありがとうございます。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ