[PHP-users 23889] Re: 別ページのアイフレーム内での動作について

[Ryosuke Hosoi]

ほそいです

From: YOSHIMURA Keitaro <ramsy ＠ ramix.jp>
Subject: [PHP-users 23885] Re: 別ページのアイフレーム内での動作について
Date: Sun, 12 Dec 2004 17:03:08 +0900
Message-ID: <20041212165721.70F3.RAMSY ＠ ramix.jp>
> そこに新たな悪役を登場させましょう。ユーザが実際に開き、セッションが有効
> な状態で悪役の用意した sagi.example.net を踏まされたとします。
> 
> sagi.example.net
> 　　　↓　勝手な注文内容を突っ込んでいき、発注処理まで一連動作で行う
> sub.example.com
> 　　　　　注文書の文法的には正しいものなので実際に発注処理
> 
> という事ができるから、cross doamin のframeやiframe間でセッション維持をし
> てはあかんのです。

これ、変ですよ
sagi.example.netに悪意があるとしても、sub.example.comに入って
からの発注処理はユーザーが行うわけですし、これがダメならAWS3.0
のショッピングカートを使ってるサイトはすべてダメでamazonもダメ
ということになるかと。
もちろん悪意あるリンク行為は行えるでしょうが、それはどのサイト
に対しても行えることと同じですよ。

-- 
 Ryosuke Hosoi / 細井 良祐
 mailto:hosoi ＠ ryo.com http://www.ryo.com/
 PGP Public Key http://www.ryo.com/ryo/hosoi.ryo.com.asc
 fingerprint = 4F39 61B0 2034 3A5C DFE8  FBCB 7B99 90CF EBE1 A3F3