<br>One user accessing another user's stuff is not the attack I am describing.  The attack I am describing is a purely destructive *someone making a user do stuff* attack.  Get a user to do something that they didn't really intend to do.  In order to do this, one only need to get the user to click on a link that has a guessed action in it.
<br><br>For example, if there's a "delete account" action on a weblocks page where the action id is guessable, *someone* can post a link somewhere that makes people delete their accounts.  <br><br>If the action id is unguessable, or the session id is part of the url, then this attack is not possible.
<br>A third option is to add a framework for confirmation of "important" actions.<br><br><div><span class="gmail_quote">On 8/1/07, <b class="gmail_sendername">cl-weblocks</b> <<a href="mailto:cl-weblocks-devel@common-lisp.net">
cl-weblocks-devel@common-lisp.net</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">#45: Don't use gensym for actions to avoid XSS attacks
<br>------------------------+---------------------------------------------------<br>  Reporter:  anonymous  |       Owner:  sakhmechet<br>      Type:  defect     |      Status:  new<br>  Priority:  low        |   Milestone:  
0.2<br> Component:  weblocks   |     Version:  pre-0.1<br>Resolution:             |    Keywords:  security<br>------------------------+---------------------------------------------------<br>Changes (by sakhmechet):<br><br>
  * milestone:  => 0.2<br>  * priority:  critical => low<br>  * version:  => pre-0.1<br><br>Comment:<br><br> I don't think this is an issue. Weblocks stores actions per session<br> specifically so that a user cannot access another user's actions (unless
<br> the session has been highjacked). If a malicious site generates a lot of<br> 'transfer' actions the user still won't be able to access them.<br><br> It's probably better to use a scheme that makes action URLs harder to
<br> guess anyway, but this isn't critical. Moving to 0.2.<br><br>--<br>Ticket URL: <<a href="http://trac.common-lisp.net/cl-weblocks/ticket/45">http://trac.common-lisp.net/cl-weblocks/ticket/45</a>><br>cl-weblocks <
<a href="http://common-lisp.net/project/cl-weblocks">http://common-lisp.net/project/cl-weblocks</a>><br>cl-weblocks</blockquote></div><br>