昨日の「コラムが検閲引っかかりまくり」で触れた＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃が本日より公開しています。

追記:2005/4/27
下記で補足して頂いています。
・hoshikuzu | star_dust の書斎 - CSRF対策とCAPTCHA
・yoggy's diary〜せかいのすみっこから〜 - The CAPTCHA Project

CAPTCHAって、「きゃぷっちゃ」？
ふにゃふにゃ文字の方がいいなぁ。

追記：2005/4/28
高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法

高木せんせのツッコミ入りです。補足になるので是非参考に！具体的な対策方法に触れています。

さらに追記：2005/4/28
高木先生のところで追跡用のIDを使った具体的な手法に触れていたので、そちらに学んで＠ITの記事に反映してみました。

また追記：2005/4/28
id:hasegawayosukeさんのところでは、GETとPOSTについて具体的にHTMLを挙げて触れていますので参考してみて下さい。
葉っぱ日記 - 結局、CSRFって何だったの？

追記しまくり：2005/5/2
手法が1つ@ITの記事に反映されています。（よく見たら、前の段階から書いてあったよ。あはは。詳しく書く形にしました。）

色んな意見に対して追記：2005/5/9
この記事に対してBlogなどで「そんな間違えた対策を教えるなんて」的な意見が少しですが見受けられました。それに対してちょっとだけこちらの意見も書いとかないと気が済まない。

完璧なセキュリティ対策を100とすると、それらの人々が意見を言ってよい対策として取り上げているのは、100ではなく80ぐらいのセキュリティ対策でしかない。だいたい100の対策なんて現実的に取ることはできないからしょうがないんだけどね。

で、私がCSRFの対策としていくつも挙げていたのは、80も挙げてるけど、10や50程度の対策も挙げている。要はやらないよりマシな対策。でも、その10や50程度の対策は導入がしやすい。システムに大きな変更をいれなくっても可能なもの。現実的に取りやすい対策も、対策の1つとして挙げていたつもりなんです。

たぶん意見を言ってる人は80以上のレベルじゃないと、対策として取り上げるべきじゃない！悪だ！と言ってるんだと思いました。私は、10程度の対策も紹介しておきたいと思います。考え方の違いなのでこれはしょうがないかもしれません。

ただ反省点としては、10程度の対策が記事を読んだ人に「80の対策だ」と思われていた可能性があるということですね。記事をよく読んで頂ければ、「何もしないよりマシな対策」であるとか書いてますよ。完全に間違えた対策は書いていないつもりです。
次の機会があれば、記事の内容に誤解が生じないよう、そして間違いがないように調べて努力していきたいと思います。