CSRFに対する脆弱性（フォームの送信元がどこであれ、送信先（action）とパラメータが正当ならばそのリクエストは正当と扱う、という標準的な仕様）は、おそらくほとんどのWebアプリケーションが抱えていると思うんだけど、どの辺から脆弱性扱いされる範囲になってくるのかな。「少なくとも認証によって保護された機能については、CSRFによって呼び出しが可能であってはいけない」ってあたりかな。

おわ

さらに、tDiaryが動作するWebサーバ上で任意のスクリプトやコマンドがtDiaryの実行権限にて実行される可能性があります。

ってところを読み飛ばしていたよ。そういやtDiaryはプラグインが強力だから、そこ経由で自由なコマンドを実行される可能性が（設定いかんでは）あるのか。なんかうちのtDiaryっていろいろいじってある気がするけど、ひとまず何も考えずに（バックアップだけ取って）アップデートしておくか。

tDiary 2.1.2にアップデート

Refererチェックはオフにして、CSRFキーチェックを有効にしてみた。さて、どこか動作がおかしくなったところはあるかな？