セッションハイジャック防止のクロスサイトリクエストフォージェリ（CSRF）対策だって

いま、じかんないし、あたまおかしいので、暇なとき読もうと思って書いているメモ。

　他人のセッションを悪意をもって取得し、なりすまして、いけないことする、セッションハイジャックなどの対策として、クロスサイトリクエストフォージェリ（CSRF）対策というのがあって、

以前は、
このきじ
クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法
http://takagi-hiromitsu.jp/diary/20050427.html#p01
がよいとされたが、

こっちのほう
開発者のための正しいCSRF対策
http://www.jumperz.net/texts/csrf.htm
がいいらしい。

で、

これ
CSRFの説明に追記
http://www.oiwa.jp/~yutaka/tdiary/20060330.html
も紹介しないと、公平さにかけるらしい（＾＾；）

すらどのきじより

どーも、セッションをhiddenで保存するかどうかってこと？
ワンタイムパスワードともかんけい？？

ま、あとでよもうっと。

Winny暴露ウィルス対策として、ホリエメール作成ソフトと電子透かしの応用はありかも！

　昨日の、エイプリールフールでこんなのがあったけど。。。

メールの内容を自動生成して墨塗り印刷できるメールソフト「ホルエメール」
http://www.forest.impress.co.jp/yashiro/2006/horuemail.html

これ、隠すだけなら面白くないけど、

・一部の文字を隠し、
・サーバーにアクセスして、認証しないと、隠した文字が読めない

となると、最近のWinny暴露ウィルスの対策や企業機密保護の上でおもしろいかも。

---

つまり、こんなかんじ。

（１）Word等で文書を作成し、
（２）このソフトにかけると、
（３）名詞や重要語句をすみ塗りにしてしまう。
（４）しかし、その黒く塗られた部分に電子透かしが入っていて
（５）そのすかしには、サーバURLと、隠した文字を検索するIDが入ってる
（６）実は（２）の段階で、サーバーに隠した文字は、プログラム的に保存してある
（７）そこで、あるソフトでみると、サーバーにアクセスして、認証がすむと、
　　　すみ塗りの部分が解析されて、普通の文章として読める。

---

　で、これを実現するには、
（１）まあ、ぶんしょうなんかをちゃせんかなんかで解析していただき
（２）そのうち、固有名詞のところになったら、サーバーにその固有名詞を送信、
（３）サーバーでは、それを登録したら、アクセス用のURLを電子透かしで埋め込んだ
　　　イメージを返すから
（４）クライアントのほうは、そのイメージを固有名詞の代わりにはる
（５）その文章を、ソフトでみると、埋め込まれた文字を解析、書かれているURLに
　　　アクセス、認証を取ったら、その文字を返す

とすればいい。

---

そーすると、Winnyで流出しても、すみ塗りドキュメントだし、もし、解析しようとして、サーバーにアクセスしたら、認証などではじかれると。。

　そーいういみでは、ホリエメール、役立つかも？