Anonymous iframe origin trial: Easily embed iframes in COEP environments | Blog | Chrome for Developers
Developers using COEP can now embed third party iframes that do not use COEP themselves. Why we need COEP Some web APIs increase the risk of side-channel attacks such as Spectre. To mitigate that risk, browsers offer an opt-in-based isolated environment called cross-origin isolation, which, among other things, requires deploying COEP. This allows websites to use privileged features including Share
モダンWebにおけるキャッシングのための新HTTP標準 | POSTD
一般ユーザー向けの大規模なWebサイトや、モダンWeb上で動作するWebアプリケーションを運営する場合、CDNなどのキャッシングサービスによって静的コンテンツをキャッシュすることが極めて重要です。 しかしこうしたサービスは、非常に複雑で分かりにくいものです。 幸い、IETF(Internet Engineering Task Force)のHTTPワーキンググループがこの状況を改善すべく、HTTPの新標準策定に取り組んでいます。 最近、同ワーキンググループでは、キャッシングのデバッグとキャッシュ設定の管理を容易にすることを目的とした、HTTPヘッダに関する2つの新標準案の発表に向けて活発な動きがありました。 このことが何を意味し、どのように機能するのか、そしてWeb制作に携わる開発者全てがなぜ注目すべきなのかについて見ていきます。 新標準 この記事で取り上げる標準案は以下の2つです。 Ca
今時の CSRF 対策ってなにをすればいいの? | Basicinc Enjoy Hacking!
こんにちは @zaru です。今回は昔からある CSRF (クロスサイト・リクエスト・フォージェリ) の今時の対策についてまとめてみました。もし、記事中に間違いがあれば @zaru まで DM もしくはメンションをください (セキュリティの細かい部分についての理解が乏しい…) 。 2022/08/29 : 徳丸さんからフィードバック頂いた内容を反映しました。徳丸さん、ありがとうございます! 認証あり・なしで対策方法が違う点 トークン確認方式のデメリットのクロスドメインについての言及を削除、代わりに Cookie 改変リスクを追記 Cookie 改ざん可能性について徳丸さんの動画リンクを追記 SameSite 属性で防げない具体的なケースを追記 nginx 説明が関係なかったので削除 そもそも CSRF ってなに? 昔からインターネットをやっている方であれば「ぼくはまちちゃん」 騒動と言えば
New Recipes for 3rd Party Cookies
text/plain ericlaw talks about security, the web, and software in general Last Updated: 13 November 2023 For privacy reasons, the web platform is moving away from supporting 3rd-party cookies, first with lockdowns, and eventually with removal of support starting at 1% in Q1 2024 (was late 2023) and completed in the third quarter of 2024. The Edge team will almost certainly follow the Chrome team,
Enhancing Playground Experience with WebAssembly-Compiled SpiceDB| AuthZed.com
In this post, we'll go into detail about each of these steps to highlight the work behind the newly improved Authzed Playground experience and perhaps inspire others to experiment with WebAssembly. Interesting Note: Header image originally generated with DALL·E 2 with caption "purple database icon lifted by crane", slightly modified afterwards TL;DR: 1. Compile SpiceDB Go source as WebAssembly. 2.
iOS Privacy: Announcing InAppBrowser.com - see what JavaScript commands get injected through an in-app browser
Last week I published a report on the risks of mobile apps using in-app browsers. Some apps, like Instagram and Facebook, inject JavaScript code into third party websites that cause potential security and privacy risks to the user. I was so happy to see the article featured by major media outlets across the globe, like TheGuardian and The Register, generated a over a million impressions on Twitter
Popover API (Explainer) | Open UI
Popover API (Explainer)@mfreed7, @scottaohara, @BoCupp-Microsoft, @domenic, @gregwhitworth, @chrishtr, @dandclark, @una, @smhigley, @aleventhal, @jh3yMay 4, 2023NOTE: This Popover API explainer was mostly useful during the development of the feature. While it is roughly still in line with the actual feature, it might be more informative to look at either of these two sources of documentation: The
Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog
※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。 はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。 ご興味のある方は是非IDaaS利用部
Introduction
XS-Leaks Wiki #Overview #Cross-site leaks (aka XS-Leaks, XSLeaks) are a class of vulnerabilities derived from side-channels 1 built into the web platform. They take advantage of the web’s core principle of composability, which allows websites to interact with each other, and abuse legitimate mechanisms 2 to infer information about the user. One way of looking at XS-Leaks is to highlight their simi
Interaction to Next Paint (INP) | Articles | web.dev
Interaction to Next Paint (INP) Stay organized with collections Save and categorize content based on your preferences. Chrome usage data shows that 90% of a user's time on a page is spent after it loads, Thus, careful measurement of responsiveness throughout the page lifecycle is important. This is what the INP metric assesses. Good responsiveness means that a page responds quickly to interactions
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tracker for External Browser Bugs, Library Bugs, and Features
GitHub - apifytech/apify-js: Apify SDK: The scalable web crawling and scraping library for JavaScript. Enables development of data extraction and web automation jobs (not only) with headless Chrome and Puppeteer.
Island | The Enterprise Browser
Chrome Platform Status
Define a policy container · Issue #4926 · whatwg/html
<a href=javascript:alert(1) traget=_blank>XSS</a> behavior in modern browser.
Certificate Revocation in Microsoft Edge
GitHub - 5t3ph/css-browser-support: Query for CSS brower support data, combined from caniuse and MDN, including version support started and global support percentages.
Web Machine Learning
Honey
