おさかなラボ - [CSRF]高木氏のエントリへの返答CSRF対策に「ワンタイムトークン」方式を推奨しない理由 @ 高木浩光@自宅の日記 ものすごく遅くなってしまったが、高木氏の反論を読ませて頂いた。 ワンタイムトークン方式の欠陥 (拙作の)「ワンタイムトークン方式」では複数の画面遷移を実装できない、という点についてはまさにその通りで反論の余地はない。僕が提唱した方法では、同一セッションで2つ以上の画面遷移を平行して行った場合、先にワンタイムトークンを発行した方の処 理がエラーを起こしてしまう。 「ワンタイムトークンを変数で切り分ける」方式(僕が提唱したものではないが)についても、高木氏の言う通りで現実的ではないと思う。全く同じ画面の平行編集についても、同じ人へ複数のメッセージ(メール)を送る場合など必要と思われる場面はいくつか想定できる。 で、hiddenにSessionIDを入れるのは問題ないの? 高木氏やおおいわ氏の主張は
えび日記: CSRFの説明に追記 - こめんと (2006-03-30)
