CSRF攻撃を回避する方法

昨日の報告によると、プリンストン大学の研究者らは、世界中の有名なサイトの多くにCSRF攻撃の脆弱性があることを発見しました。INGも例外ではなく、最も深刻な状況です。 CSRFはクライアントの要求を偽造する攻撃であり、CSRFの正式名称はCross Site Request Forgeryであり、これは文字通りクロスサイトの偽造要求を意味します。

上記のテキストでは、CSRFの攻撃方法を慎重に説明できない場合があります（たとえば、最初にクレジットカードのWebサイトにログインすると、Webサイトは通常、Cookieなどの方法で認証情報を記録します）。その後、何らかの形でYouTubeのWebサイトであると思われるURLにアクセスすると、このURLがハッカーによって処理されますが、それはYouTubeのURLですが、通常のYouTubeであり、通常の期間でさえあると思われます。ビデオ、このページ（フラッシュ、ビデオ、スクリプトなど）はハッカーのメールボックスに送信される可能性があります。 Eメールクレジットカードのウェブサイトの認証情報を、あなたの認証情報へのハッカーのアクセス、およびアカウントを引き継ぐことができます。

CSRFは抜け穴であり、保護するのは困難ですが、現在CSRFを監視するための良い方法はないことが理解されています。私が考えるより実行可能な防止方法のいくつかは：

オンラインバンキングを使わないでください。私はオンラインバンキングを使用していないので、いわゆる無勝ちなトリック、ハッカーは当然結婚するのは難しいでしょう。 （冗談:)）
定期的にパスワードを変更する。パスワードを定期的に変更することは、常にセキュリティにおいて最も支持されている方法の1つです。

（クレジットカード、オンラインバンキングなどの）機密性の高いWebサイトにアクセスした後は、履歴、Cookieレコード、フォームレコード、パスワードレコードを積極的に消去し、ブラウザを再起動して他のWebサイトにアクセスします。
ブラウザのアップデート、特にセキュリティパッチを最新の状態に保ちます。また、オペレーティングシステム、アンチウイルス、ファイアウォール、その他のソフトウェアのアップデートにも注意を払ってください。

発信元が不明なWebサイトはアップロードしないでくださいms ie 7のサイト認証機能またはGoogleツールバーを使用して、違法なWebサイトを特定することをお勧めします。

Safariなどの「プライベートブラウジング」機能で特定のブラウザ、と。 「プライベートブラウジング」機能を使用すると、ユーザーは痕跡を残すことなくWebを閲覧でき、ブラウザにはCookieやその他の資料が保存されません。結果として、CSRFは有用な情報を持っていません。

IE8は、 "InPrivateブラウズ。" と呼びましたChromeはそれを「シークレットモード」と呼びます。

ブラウザが「リンク証明書とドメイン名の不一致」の警告メッセージが、継続しないでくださいあなたは、ウェブ開発者やハッカーなら（すぐにブラウザを閉じたり戻るよう求められた場合は、私が言わなかったとき）。
は、

ブラウザを管理するためにクッキーを
。たとえば、IE6.0では、[ツール] - > [インターネットオプション] - > [プライバシー]ダイアログボックスを開きます。ここでは、[すべてのCookieをブロック]、[高]、[中]、[中]、[低]を設定します。 6つのレベルのCookieすべてを受け入れ、スライダーをドラッグして簡単に設定し、下の[編集]ボタンをクリックして[Webサイトのアドレス]に特定のURLを入力すると、許可するように設定できます。またはクッキーの使用を拒否します。無効またはJavaプログラムとActiveXコントロールの使用を制限する

（サイトは、いくつかの通常のアクセスエラーが発生することがあります）。

履歴のクリア定期的に、ブラウザのオプションで同様の「フォームのクリア」および「パスワードのクリア」ボタンを見つけ、そして定期的にクリックすることで、YYは、週に一度お勧めします。

実際、これらのトリックは謎ではありません。主にセキュリティ意識を高め、ハッカーから機密情報を隠すためです。