例えばネットサービスのログイン後に、セッションをハイジャックされ、不正取引が行われてしまう事例が海外で発生しています。
ログインの認証をパスワード生成機を使って、いくら強固にしてもこのセッションハイジャックの対策にはならないのですが、下記のような対策が出始めていますので、ご参考にしてください。
セッションハイジャックされたあとは、事前に仕込まれたスクリプトで、端末操作がサクサク行われていくのですが、その場合は、通常の人間が入力するスピードとは大きく異なります。
この違いを見極める技術として、「リスクベース認証」という技術があり、例えば、利用者の通常のキーストロークの間隔を学習しておき、明らかに、その間隔と異なるリクエストであれば、イレギュラーに認証(パスワード等)を求めることにより、スクリプト実行を停止させることができます。
RSAやベリサインですでにサービス提供されていますが、NECでも最近同様のシステムが提供されています。
http://www.itmedia.co.jp/enterprise/articles/0603/24/news045...
奥一穂さんというよりは、cybouzu.labのblogだと思いますが、
http://labs.cybozu.co.jp/blog/kazuho/archives/2006/04/csrf_j...
から始まって
http://labs.cybozu.co.jp/blog/hata/archives/2006-06-09-1.htm...
で発展しているエントリーだと思います。
まとめは
http://takagi-hiromitsu.jp/diary/20050427.html
http://takagi-hiromitsu.jp/diary/20060409.html
のあたりでしょうか。
これでしたありがとうございます。
面白いですね。ただ、求めているのは、javascript 使って、ブラウザ情報などを送ってもらう仕掛けだったような気がします。