私は使っていないのだが(たぶん)誰もがなんとなく知っている某ウェブアプリ。 ずいぶん前にIPAに報告したXSSとCSRF。XSSは速攻でなおったのにCSRFは治っていない。 修正する能力がないのだろうか。　余計な機能を付加するバージョンアップを繰り返しているわりには肝心な部分が放置されている。 きっとセッション管理の方法を知らないのだろう…と思ったり、知っていながらめんどくさくて放置しているのかもと思ったり思わなかったり。【どっち】
勘違いでなければメジャーなブラウザでJavaScriptをオフな状態で罠ページに凸すると、そのユーザの視覚では気がつかないうちに特段のアクションを必要とせずにCSRF攻撃が成立するはずだ。GETで成立するし。…でもIEにおいてはimg要素で攻撃成立しなかったのは何故だろうかと考え込んだ。きっと素晴らしい独創的な工夫がそのウェブアプリに仕込まれているに違いない。しかたがないのでobject要素とiframe要素とを使ってみた。object要素便利なり。