クロスサイト・リクエストフォージェリ(CSRF)の対策手法を設定します。
CSRF攻撃は、悪意のある人間がWebページに罠を仕掛けます。 その罠を仕掛けたページをあなたが閲覧すると、あなたのブラウザは tDiaryに偽の書き込み要求を送出してしまいます。あなたのブラウザが 偽要求を送出してしまうため、暗号化・パスワード保護だけでは対策になりません。 tDiaryでは、この種の攻撃に対して、「Refererチェック」と「CSRFキー」という 2種類の防衛手段を用意しています。
する(標準)
あなたのブラウザが送出するReferer(リンク元情報)を検査します。 書き込み要求が正しいページから送出されたことを確認することで、 偽ページからの要求を防ぎます。不正なページからの要求を検出した場合、 更新リクエストを拒否します。 この設定画面では、無効にすることは出来ません。
する(標準) しない
ブラウザからRefererが送られてこなかった場合の動作を指定します。
標準では、Refererが送出されない場合、不正なリクエストを 判別できないため、書き込み・設定変更を拒否します。 あなたのブラウザがRefererを送出しない設定の場合、 この設定が「する」になっていると、正規の書き込み要求も拒否してしまいます。 ブラウザを設定を変更しRefererを送出するようにしてください。 どうしてもRefererを送出する設定に出来ない場合、「しない」にしてください。 この場合、Refererが全く送出されなかった場合にも、 書き込み・設定変更を許すようになりますが、 CSRFによる攻撃と区別できなくなりますので、必ず次の「CSRF防止キー」の 設定と併用して下さい。
する しない(標準)
書き込みフォームに偽装書き込み防止のためのキーを設定し、CSRFを防ぎます。 偽ページが秘密のキーを知らない限り、 偽の書き込み要求を生成することができなくなります。 この検査を「する」にすると、システムが鍵を自動的に生成、設定します。 上の設定と両方「しない」にすることはできません。
この設定を「する」にした場合、この機構に対応していない一部の プラグインが動作しなくなることがあります。
注意: あなたのブラウザは現在Refererを送出していないようです。 このリンクからもう一回 このページを開いてみて下さい。 それでもこのメッセージが出る状況では、この設定を変える場合、 一時的にRefererを送出する設定にするか、 直接tdiary.confを編集して下さい。
