<meta http-equiv="content-type" content="text/html; charset=utf-8">Thanks for sharing this. I assumed it would be flash because RoR team made a backward incompatible change to their library to fix this issue.<div><br></div>

<div>Michal - I agree Flash should fix this. What's their justification for not doing so?</div><div><br clear="all">--Sri<br>
<br><br><div class="gmail_quote">On 11 February 2011 01:41, Michal Zalewski <span dir="ltr"><<a href="mailto:lcamtuf@coredump.cx">lcamtuf@coredump.cx</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

<div class="im">> We see here that the POST request is being set to <a href="http://www.victim.com" target="_blank">www.victim.com</a>, with the additional headers and the POST body. Web server frameworks can no longer rely on the implied security of additional HTTP Request Headers alone to prevent CSRF.<br>


<br>
</div>I think it would be more reasonable to convince Adobe to fix it, than<br>
to write off this mechanism as an XSRF defense... unfortunately, as I<br>
understand it, they are aware of this problem for a longer while (> 6<br>
months), and it's been quasi-public ever since...<br>
<br>
/mz<br>
<br>
_______________________________________________<br>
The Web Security Mailing List<br>
<br>
WebSecurity RSS Feed<br>
<a href="http://www.webappsec.org/rss/websecurity.rss" target="_blank">http://www.webappsec.org/rss/websecurity.rss</a><br>
<br>
Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br>
<br>
WASC on Twitter<br>
<a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a><br>
<br>
<a href="mailto:websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br>
<a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br>
</blockquote></div><br></div>