[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

335users がブックマーク コメント 23

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか

335 users blog.tokumaru.org

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント23

  • 注目コメント
  • 新着コメント
ultimatebreak
クッキーを落としても2分以内なら食べられる / こんなくだらないブコメで徳丸先生からスターをいただいてしまい恐縮している

その他
ockeghem
日記書いた。samesite属性を明示しない場合のCSRF攻撃の影響についてブラウザ毎に整理しました

その他
n314
ec-cubeとかは3dセキュアやリンク型決済に対応するためにsamesite=noneで逃げてたと思うんだけど、あれどうなったのかな?真面目にやろうとしてセッションと別に決済用のcookieを自分で作るの、かなり大変なんだよねえ...。

その他
dsl
2分間ルールなんてあるのか

その他
takezaki
"ただし、デフォルトsamesite=laxには「2分間ルール」というものがあり、現実的な可能性は低いものの、CSRF攻撃を受ける余地があります。"

その他
takatama
Safariは未対応。既読機能など、GETで状態変更すると攻撃できちゃうよ

その他
kootaro
一昔前より、安全になってきてるんだろうけど、ついていけないです。。。

その他
dorapon2000
"最新のGoogle ChromeおよびFirefoxにおいて、samesite属性を指定しないCookieはsamesite=laxの扱いを受けますが、Cookieが生成されてから2分経過してからsamesite=laxになる仕様になっています。"

その他
rochefort
samesite // 2分間ルール

その他
iga_k
説明がわかりやすいありがたい

その他
emonkak
"samesite属性を指定しないCookieはsamesite=laxの扱いを受けますが、Cookieが生成されてから2分経過してからsamesite=laxになる"

その他
efcl
samesite属性とCSRFについて

その他
raimon49
Cookie生成後2分間はsamesite=laxとしない仕様があり、2022-01現在、ChromeとFirefoxでは微妙に挙動が異なるという詳説。何にせよ緩和策に過ぎないためWebサイト側は更新処理をPOSTメソッドで受け付けるよう留意が必要。

その他
t_motooka
2分間ルールの細かい挙動知らなかった。なるほどー。

その他
bouzuya
SameSite=Lax

その他
t-murachi
2分間ルールは何のために設けられてるんだろう...( ́・ω・`)

その他
odakaho
"samesite=laxのクッキーはサイトに送信されず、ログイン状態にはならないためCSRF攻撃も成立しない" "Cookieが生成されてから2分経過してからsamesite=laxになる" "Google Chromeはsamesite=noneの時間が2分間延長"

その他
sawarabi0130
こんにちはこんにちは!!

その他
yosuke_furukawa
"最新のGoogle ChromeおよびFirefoxにおいて、samesite属性を指定しないCookieはsamesite=laxの扱いを受けますが、Cookieが生成されてから2分経過してからsamesite=laxになる仕様になっています。" 知らなかった。。

その他
ultimatebreak
ultimatebreak クッキーを落としても2分以内なら食べられる / こんなくだらないブコメで徳丸先生からスターをいただいてしまい恐縮している

2022年01月26日 リンク

その他
tettekete37564
本当2分ルールが意味不明。ウチで発行したクッキーが外部決済サイトから戻ってきたページでだけブラウザがクッキーを送信しないがテストだと2分以内だから問題が起きないという。発行と受信が同じオリジンなら送れよ

その他
n314
n314 ec-cubeとかは3dセキュアやリンク型決済に対応するためにsamesite=noneで逃げてたと思うんだけど、あれどうなったのかな?真面目にやろうとしてセッションと別に決済用のcookieを自分で作るの、かなり大変なんだよねえ...。

2022年01月26日 リンク

その他
takatama
takatama Safariは未対応。既読機能など、GETで状態変更すると攻撃できちゃうよ

2022年01月26日 リンク

その他
hatest
CSRF:(C)Cookieの (S)samesiteを指定しないと (R)リクエストが不正なところから来ても (F)防げないよ

その他
ledsun
"脆弱性のデモなどで敢えて2分間ルールを使いたい場合は、いったんCookieを削除してから新規にCookieを生成することにより、2分間ルールの恩恵を受けることができます。"

その他
kootaro
kootaro 一昔前より、安全になってきてるんだろうけど、ついていけないです。。。

2022年01月26日 リンク

その他
ton-boo
iOSでの最新のSafariだとsamesite属性の代わり(というのも変だけど)にITPが頑張ってくれてたりしないだろうか

その他
takezaki
takezaki "ただし、デフォルトsamesite=laxには「2分間ルール」というものがあり、現実的な可能性は低いものの、CSRF攻撃を受ける余地があります。"

2022年01月26日 リンク

その他
dsl
dsl 2分間ルールなんてあるのか

2022年01月26日 リンク

その他
ockeghem
ockeghem 日記書いた。samesite属性を明示しない場合のCSRF攻撃の影響についてブラウザ毎に整理しました

2022年01月26日 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「2022年1月において...」が注目されています。

気持ちをシェアしよう

ツイートする

2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか

サマリ2020年2月にGoogle ChromeCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月... サマリ2020年2月にGoogle ChromeCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 (2022年1月29日追記) 日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです(Firefox 96.0.3にて確認)。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が

ブックマークしたユーザー

  • dorapon20002025年10月07日 dorapon2000
  • pecitropen2024年08月24日 pecitropen
  • issyurn2024年01月19日 issyurn
  • techtech05212023年09月08日 techtech0521
  • kyo_ago2022年12月30日 kyo_ago
  • fuyu772022年03月10日 fuyu77
  • yuu-yuiken2022年02月27日 yuu-yuiken
  • thaturn2022年02月27日 thaturn
  • shirasugohan01412022年02月05日 shirasugohan0141
  • okyawa2022年02月03日 okyawa
  • rochefort2022年02月02日 rochefort
  • k0yoshitsugu2022年02月02日 k0yoshitsugu
  • iga_k2022年01月31日 iga_k
  • hamaco2022年01月31日 hamaco
  • somathor2022年01月31日 somathor
  • emonkak2022年01月30日 emonkak
  • teppeis2022年01月30日 teppeis
  • gabill2022年01月29日 gabill
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /