JSONPのセキュリティについて質問させて下さい。

JSONPのセキュリティについて質問させて下さい。

JSONPにはCSRFのセキュリティリスクがあるとされています。
その解説として下記のWebサイトがありました。

http://gihyo.jp/dev/serial/01/web20sec/0003?page=2

この中に、
「クエリストリングに推測不可能な文字列を含めておき，
JSONPファイルを読み出す場合にその値を用いて認証を行うようにします。
すると攻撃者はJSONPファイルのURLがわからなくなるため，
図2のように被害者に気づかれないようにリクエストを発生させる攻撃を防ぐことができます。」
とあります。

ただ、ここでいう、認証を行う、というの具体的にどういうことなのかがわかりません。
何をどう認証する仕組みを作ればいいのかがよくわかりません。
というか、そもそもこの認証になんの意味があるのかが不明です。

具体的には、
クライアントがJSONPを返すホスト（上記ウェブサイトでいう(h)ttp://mail.example.com/json.dat）
に対して何らかのリクエストを発行した場合、リクエスト内容である
そのクエリストリングに推測不可能な文字列を付与する、ということかと思うのですが、
それでどうやって、そのリクエストが不正なアクセスかどうか、を識別することができるのでしょうか？

推測不可能な文字列の付与は、おそらく被害者ユーザーのブラウザ（クライアント）から、
JSONPを返すのホストにへリクエストに対して行われることとなると思います。
ただ、そのリクエストに文字列を付与したところで、そのリクエストが
攻撃的意図で発行されているのか普通に発行されているのか、
は識別出来ないはないかと思い、困っています。。。


どなたかご回答くだされば幸甚です。

No.1 回答者： steel_gray 回答日時： 2010/06/29 12:37

別の言い方をするならJSONPであっても「セッション管理」をせよ、って事だと思います。