2019/09/08 09:17
dozo
CookieのSame Site属性でCSRFを撲滅する話
2019/09/08 09:20
qtamaki
従来のCSRF対策に代わる新たな手法としてSameSiteフラグというのがクッキーに追加されていて、Chromeでは既にデフォルトでONになってるよ。って話かな?それは素晴らしい!
2019/09/08 09:44
kakei-akihiko
Cookieの挙動を変えたって、ログインのないサイトのCSRFはそのまま残るね。遠隔操作事件でCSRFくらって犯行予告投稿しちゃった人は逮捕されたし。
2019/09/08 10:50
kuniku
興味深い
2019/09/08 11:01
yo_waka
CSRFに変わってcookieのSameSite属性で
2019/09/08 11:27
wow64
SameSite=Lax がデフォルトに。クロスドメインのサブリクエストではcookieが付かなくなる
2019/09/08 11:58
shunt_i
CSRF
2019/09/08 12:31
yuzurus
SameSiteってそういう意味があったのか。 Chrome80からデフォルトオンだっけかな
2019/09/08 12:44
tumo300-500
“CSRF”
2019/09/08 13:12
master-0717
“In the perfect world you'd enable SameSite by adding SameSite=Lax to your cookie, just like the Secure or HttpOnly flags.”
2019/09/08 14:00
fashi
機械翻訳もできない
2019/09/08 14:24
udzura
ワクチンの普及で病を根絶するみたいな
2019/09/08 14:40
haruharu1
これってcurlとかで自分がリクエストヘッダつけれるときはどうするんだろ。CSRFトークンがなくなったってことは本当にそのサイト見たかわからなくない?とりあえず他のブラウザが対応してないのにデフォルトは迷惑
2019/09/08 15:49
regularexception
CLRFかと思った。
2019/09/08 16:01
kw5
まだデフォルト on にはなってない
2019/09/08 16:55
mirucons
SameSite は Chrome 78 からデフォルトオンになるのか。記憶に留めておかないとブラウザ間の差異によって痛い目見そう。セキュリティ的には素晴らしいんだけどね
2019/09/08 18:29
yug1224
SameSite Cookiesの対応でCSRFがなくなる話か
2019/09/08 18:29
masaharu-s
この記事の作者は以前からcookieのSameSite属性を使えばCSRFの対策になると提唱していたみたい。(scotthelme.co.uk chromeの安定版v80から(ベータ版はv78から)SameSite属性がLaxになるので喜んでいるという内容。
2019/09/08 20:00
kijtra
Postman での検証とか面倒になるやつ?
2019/09/08 21:12
mozy_ok
マジか Chromeではsame site フラグがあるから CSRFは使わんでもって話
2019/09/08 22:11
surumedaka
same site
2019/09/08 22:14
tosebro
おっ、またこの人。特定ブラウザだけサポートする状況は混乱しそうだけど、過渡期には仕方ない面もあるので個人的には歓迎する。
2019/09/08 22:20
sawarabi0130
はまちちゃん死す?
2019/09/08 22:53
ockeghem
アプリ側でCSRF対策しなくても済む未来はもう少し先だと思います
2019/09/09 00:11
efcl
SameSite CookieがChromeにデフォルトで入るのでCSRFがしにくくなるという話
2019/09/09 02:19
tockthey
普通のブラウザでCSRFを心配する時代じゃないと。でも完全じゃないよね。ターゲットされたユーザーが利用する可能性のある全てのクライアントで実装されなければCSRFトークンが不要になるわけではない。
2019/09/10 00:45
ono_matope
Chrome 78からCookieのSameSite=Laxがデフォルト有効かつオプトアウト式に。主要ブラウザが対応して十分に普及すれば確かにCSRFトークンいらなくなるか。
2019/09/10 17:08
ngyuki
SameSite=Lax