ASnoKaze blog
『Oblivious HTTP』はユーザのプライバシを向上するための技術であり、各ブラウザベンダーおよびCDNベンダーが実装を行っています。 取り組みについては、幾つかの記事があがっています 『Google、Chrome ユーザーのオンラインプライバシー保護を強化するプライバシーサンドボックスのイニシアチブに Fastly Oblivious HTTP リレーを採用』 『Built for privacy: Partnering to deploy Oblivious HTTP and Prio in Firefox』 今回は仕様の観点で、プロトコルの中身に触れていく 背景と目的 通信観点のプライバシーについては、通信の暗号化によりほとんどが保護されています。しかし、幾つか懸念が残っています。 IPアドレスは、短期的に同一ユーザを識別するのに使用できる コネクションは、一連の通信が同一ユー
Browserleaks - Check your browser for privacy leaks
BrowserLeaks is a suite of tools that offers a range of tests to evaluate the security and privacy of your web browser. These tests focus on identifying ways in which websites may leak your real IP address, collect information about your device, and perform a browser fingerprinting. By understanding these risks, you can take appropriate steps to protect your online privacy and minimize your exposu
華麗なる因数分解:FREAK攻撃の仕組み - ぼちぼち日記
1. はじめに ちょうど今朝 OpenSSLをはじめとした様々なTLS実装の脆弱性の詳細が公表されました。 この InriaとMSRのグループは以前からTLSのセキュリティに関して非常にアクティブに調査・検証をしているグループで、今回も驚きの内容でした。 このグループは、TLSのハンドシェイク時の状態遷移を厳密にチェックするツールを開発し、様々なTLS実装の脆弱性を発見・報告を行っていたようです。 特にFREAKと呼ばれるOpenSSLの脆弱性(CVE-2015-0204)に関しては、ちょうど修正直後の1月初めに Only allow ephemeral RSA keys in export ciphersuites で見ていましたが、具体的にどのように攻撃するのかさっぱりイメージできず、あのグループだからまた超絶変態な手法だろうが、まぁそれほど深刻じゃないだろうと見込んでいました。 今回
セッション管理の不備、リダイレクト処理、クッキー出力による脆弱性
Tweet Tweet前回は、表示処理、SQL呼び出しおよび「重要な処理」に伴う脆弱性対策についてまとめた。ここでは、セッション管理の不備、リダイレクト処理、クッキー出力による脆弱性対策についてまとめる。 1 セッション管理の不備 セッションハイジャックの原因と影響 セッションハイジャックとは、第三者がセッションIDを悪用してなりすますことである。セッションハイジャックが行われる原因は、以下の3種類に分類される。 セッションIDの推測:自作セッション管理機構の脆弱性など セッションIDの盗み出し:URL埋め込みのセッションID、クッキーのセキュア属性不備など セッションIDの強制:セッションIDの固定化脆弱性 セッションハイジャックが行われた場合、以下の影響があり得る。 利用者の重要情報(個人情報、メールなど)の閲覧 利用者の持つ権限での操作(送金、物品購入など) 利用者のIDによるメール
コンテントセキュリティポリシー入門 - ずっと君のターン
Chromeの拡張機能はmanifest v2からCSP対応とかでいろいろと制限が厳しくなったわけですが、そもそもそのCSPがよく分からなかったので、HTML5Rocksの入門記事を訳してみました。 ところどころよく分からなくて適当に訳してたりするので、おやっ?と思ったら原文参照のこと。 http://www.html5rocks.com/en/tutorials/security/content-security-policy/ コンテントセキュリティポリシー入門 注: この記事はまだ完全に標準化を終えておらず不安定なAPIについて述べています。自身のプロジェクトで実験的なAPIを使う場合には注意が必要です。 ウェブのセキュリティモデルは同一生成元ポリシーにその根拠を持ちます。 https://mybank.com のコードは https://mybank.com のデータにだけアクセス
Introducing Content Security Policy - MDC Doc Center
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
CAPTCHA解読―ロシアが仕掛ける新たなビジネス
McAfee Avert Labs Blog 「Cracking CAPTCHA: Another Russian Business」より October 10,2008 Posted by Francois Paget 当ブログでこれまでにも何度か書いたが,CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は,Webサイト,フォーラム,メーリング・リスト(ML)の保護を目的として,アカウントやコンテンツの自動生成を阻止するシステムだ。筆者の同僚,Tad Heppner氏が2007年11月に投稿した記事(翻訳記事:CAPTCHA認証破りの手口)によると,たいていのCAPTCHAは,「人間なら簡単に理解できるが現在のコンピュータによるOCRツールや画像認識システムだと極めて識別
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Code Archive - Long-term storage for Google Code Project Hosting.