[Seasar-user:17589] Re: S2Flex2 を使用した場合のCSRFが起こる可能性について

[E-MAIL ADDRESS DELETED] [E-MAIL ADDRESS DELETED]
2009年 6月 2日 (火) 13:59:09 JST


柏山です。
ご返答ありがとうございます。

下記返答について質問させてください。
S2Flex2を使用すると、CSRF( Cross Site Request Forgeries)の脆弱性が
起こる可能性があり、
トークンの対応などをアプリケーションに作りこむ必要があるということでしょう
か?

以上、お手数ですがご返答よろしくお願いいたします。




jun funakura <[E-MAIL ADDRESS DELETED]> 
送信者: [E-MAIL ADDRESS DELETED]
2009/06/02 12:01
[E-MAIL ADDRESS DELETED] へ
返信してください


宛先
[E-MAIL ADDRESS DELETED]
cc

件名
[Seasar-user:17586] Re: S2Flex2 を使用した場合のCSRFが起こる可能性について






ふなくら(nod)です。

> この機能を使用した場合CSRFの脆弱性はありますか?

S2Flex2は、Flexアプリケーションからサーバ側のコンポーネントを呼び出して実
行し、ActionScriptのクラスに
マッピングして返すというシンプルなGatewayとなっております。

呼び出しできるコンポーネントはRemoteServiceのメタデータがあるものと言う制
限はありますが
それ以外は特に制限を設けているわけではありません。
実際にCSRF( Cross Site Request Forgeriesのことですよね?)の脆弱性があるか
どうかは
アプリケーションの作り方によると思います。

たとえば呼び出される順番の制御や、権限チェックなどが必要といったサービスで
あれば
FilterやAOPをかけるなど別途要件にあわせて実装していく形になると思います。

--
ふなくら

2009/05/29 16:20  <[E-MAIL ADDRESS DELETED]>:
>
> 柏山と申します。
>
> S2Flex2を使用してシステムを構築していますが、
> この機能を使用した場合CSRFの脆弱性はありますか?
>
> お手数ですが、ご回答よろしくお願いいたします。
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
>
_______________________________________________
Seasar-user mailing list
[E-MAIL ADDRESS DELETED]
https://ml.seasar.org/mailman/listinfo/seasar-user

-------------- next part --------------
HTMLの添付ファイルを保管しました...
URL: <http://ml.seasar.org/archives/seasar-user/attachments/20090602/b1603cf0/attachment.html>


Seasar-user メーリングリストの案内