CSRF対策がないフォームへの投稿は、投稿者を特定できなくて困る
投稿内容が犯行予告だったりすると困る。(最近ニュースになってる一件がCSRFがらみなのかは知らない)
ちょっと調べて考えてみたところ、条件がよくても投稿可能だったひとを絞り込めるのは2人までで、特定は無理じゃないか?という結論に至った。
リファラーのホストにXSSでCSRFページが仕込まれていたら?とか、無線LANをただ乗りされたら?とか、考え始めるときりがないけど「CSRF対策がないフォームへの投稿者を特定できるか?」という問いのためには、この2人について考えれば十分だと思う。
リファラーがあるなら2で決まりじゃん?と思うけど、決まらないんだなこれが。
リファラーを根拠に投稿者を特定しようとする限り、手書きでウソのリファラーをつけたHTTPヘッダをsocketで送れば、ウソのリファラーが指すURIの持ち主を投稿者に仕立てられてしまう。
この点をはっきりさせるには、どうすればいいんだろう。
- 法令で、レンタルサーバー事業者に、ユーザーのドキュメントルート配下の全ファイルについて、一定期間さかのぼれるSubversion的な記録を義務づける。
- 法令で、ISPに個人回線のInbound Port 80 Blockingを義務づける。
決定打って思いつかないけど、こういうことって警察庁や総務省のえらいひとが考えてそうだなあ。
残念だけど、インターネットってもう少し不自由でないといけないのかも。