Immortal Session の恐怖

そしてcookieを奪うのがどれほど簡単かというのは、
CSRFの事例が後をたたないことからも伺い知ることができる。

どうもCSRFとセッションハイジャックを混合している様なので。

セッションハイジャックは、sign inした正当なユーザのsessionを
盗み、攻撃者はそのユーザとしてWebアプリにsign inする。
一般的にsessionはcookieに保管されるのでcookieを奪う事が攻撃者の
目標になる。

対して
CSRFは日記を追加する、パスワードを変更する、はてなブックマークに
記事を追加する、Amazonで本を購入する、2chに「氏ね」と投稿する
等Webアプリの入力→確認→完了
といった遷移の「完了」の遷移を"ユーザに"無意識に行わせる事で成立する攻撃。
実行するのはユーザ自身なので、攻撃者にとってcookieは必要ない。
悪意あるサイトを閲覧させる事が攻撃者の目標になる。

今回弾さんが解説されているUser Agentが一致するか確認する、
IPアドレスが一致するか確認するといった対策はセッションハイジャックには
有効ですがCSRFにはまったく意味が無い対策ですので混合されないようご注意ください。
※有効ではありますが、個人的には推奨しません。後で書きます。