Immortal Session の恐怖 そしてcookieを奪うのがどれほど簡単かというのは、 CSRFの事例が後をたたないことからも伺い知ることができる。どうもCSRFとセッションハイジャックを混合している様なので。セッションハイジャックは、sign inした正当なユーザのs…

CSRF対策にワンタイムトークンが有効だという記事をよく見かけるけど、固定トークンの方がユーザに遷移を強制しない分良い実装だと思うんだけどなんで浸透しないんだろう？ まず、CSRF可能なWebアプリは以下の遷移の様に認証 → 入力 → 確認 → 完了まず認証を…