記事本文
はてなダイアリーの CSRF 脆弱性対策
Another 朝顔日記 - CSRF 脆弱性対策から各種 weblog ツールおよび weblog サービスの CSRF 脆弱性対応状況へのリンク無しトラックバックで教えてもらいました。 ( と書くことで良いリンク無しトラックバックの例であることもさりげなくアピール。 って書いちゃうとさりげなくはないですね。 )
以前にも対策がなされていましたが、リファラを切った状態では対策が無効になっていたので、
セッションIDを用いた検査を行う方法
が採用されたようです。
tDiary の CSRF 脆弱性対策
こちらは「tDiary の CSRF」@水無月ばけらのえび日記より知りました。 JP Vendor Status Notes - tDiary におけるクロスサイト・リクエスト・フォージェリの脆弱性にて脆弱性の報告がなされ、対応が施されたバージョンがリリースされたようです。
各種 weblog ツールおよび weblog サービスの CSRF 脆弱性対応状況に追記
ということで、各種 weblog ツールおよび weblog サービスの CSRF 脆弱性対応状況の追記および修正を行いました。 これで、現時点で私が把握している中では、
の 3 つの weblog ツール or weblog サービスが CSRF 脆弱性の対応を行っていることになります。
( 残念ながら Movable Type は対応がされたという話を聞いていません。
Movable Type における CSRF の可能性と各種対処法を参考に自衛を心がけてください。 )
Movable Type は 3.16 の時点で magic token という仕組みを用いた対策がなされているようです。
drry さん、コメントでのご指摘ありがとうございました。
weblog ツールや weblog サービスを選択する際に、こうしたセキュリティ面の対応が的確になされているかという判断基準にすると良いかもしれません。
