Trusted Typesの概念と背景
今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全でないデフォルト近頃のWeb開発ではTypeScriptがよく使われるようになりました。これは型を明示することにより、エラーを事前に防げるからです。 セキュリティでも同じことが言えます。そもそもelement.innerHTMLにStringを代入出来ること自体が間違っているのです。innerHTMLはHTMLを代入する為のものであり、Stringを代入してもHTMLとして型の変換がされてしまうからです(i.e. re-pars
投機的なWebの修復
先日Mozaic.fmでCross Origin Info Leaksについて話しました。 ep63 Cross Origin Info Leaks 雑談編(こちらはプラバシーや新しいEdgeなどセキュリティとは関係ない雑談です) ここではMozaicで話した事をまとめてみたいと思います。 スペクターとはなんだったのか 何が直ったのか 何故ブラウザの問題は残っているのか ブラウザはどの様な対策をとったのか ブラウザの対策は十分だったのか Site Isolationとは Cross-Origin Read Blockingとは Cross-Origin Resource Policyとは Cross-Origin Embedder Policyとは Cross-Origin Opener Policyとは Securer Contextとは スペクターとはなんだったのか スペクターはCPU
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
