WikiにはCSRFは要らない?
というのをどこかで目にしました。
つまり、Wikiの本文編集に限定すると、バージョン管理されているのだからCSRFされても「巻き戻せる」。CSRFは回復できない一方通行の破壊的操作を行う処理の場合には対策が必須だが、以前の状態に巻き戻すことが出来るWikiの本文編集機能の場合には、対策は必ずしも必須とは言えないのではないか、というお話でした。
じゃあYBのすくなくとも本体データ編集に関しては要らないか・・・というとそうでもない。
YBの場合、「バージョン管理しない」チェックボックスにチェックを入れると、現在バージョンのデータを直接上書きします。
元々単純な日記・雑記記事の誤記修正、短文追加程度のケースが頭にあって、そこまでバージョン管理する必要無いだろ?というわけで、この「バージョン管理抑制機能」を付けることにしています。
えー、ですので・・・・・・回復不能な操作ですね。だってこのチェックボックス、本体データ編集時に一緒に送信するフォームですから。回復不能です。
というわけで、YBの場合はなんだかんだ言ってやっぱりCSRF対策が必要ですよー、というお話でした。