はてな各サービスの CSRF 脆弱性対策について

先日より、はてな各サービスにおける CSRF 脆弱性の対策方法を見直しております。これまではリファラをチェックする方法を採用しておりましたが、この方法は対策としては不十分な点があり、新たに POST によるデータの送信時、セッションIDを用いた検査を行う方法を採用しております。

現在、各サービスでの対応がほぼ完了しております。サードパーティ製のツールなど、外部から直接データを POST しているアプリケーションなどが、今回の変更により動作しくなっている可能性がございますが、はてな各サービスの安全性向上が目的の変更となりますので、ご了承いただければ幸いです。

なお、セッションID は Cookie に保存されている rk パラメータの値を MD5 BASE64シリアライズした値になります。Cookie を取得可能なサードパーティ製ツールであれば、rk パラメータをエンコードした値を rkm というパラメータ名で同時に送信することにより、POST によるデータの送信が可能となります。