記事へのコメント12

    • 注目コメント
    • 新着コメント
    unarist
    unarist 保存場所の比較だけで言えばトークンをローカル変数に閉じ込めるのはマシではあるが、実際には保存場所以外の隙からXSSで刺されたりするよ、と。

    2022/08/10 リンク

    その他
    NOV1975
    NOV1975 元記事については僕も徳丸さんも「XSS脆弱性があれば全部一緒だよね」とコメントしていたが、ちゃんと検証してくれる人がいるとありがたいですね。とにかくまずXSS対策ですね。

    2022/08/10 リンク

    その他
    ockeghem
    ockeghem PoC出ました。結局、XSSの脅威に対しては、HttpOnlyなCookie、localStorage、Auth0流のin-memory方式のいずれも大差ないという結論でよいと思います。

    2022/08/10 リンク

    その他
    typex2
    typex2 Javascriptから読めないcookieに設定したやつを使うならXSSがあっても大丈夫なんだよね?

    2022/08/10 リンク

    その他
    hinaloe
    hinaloe in-memory,すくなくともリロードして機能する、JSコードはパブリック、SPAで利用する、の前提が揃ってる時点でXSSできればそりゃ再現可能だわなというはなしで…?

    2022/08/09 リンク

    その他
    hdampty7
    hdampty7 HttpOnlyのセッションクッキー方式なら認証そのものを取られることはない。まあ、ページの内容とかはXSSがあれば抜かれちゃいますけどね。穴があれば結局同じかなぁ。

    2022/08/09 リンク

    その他
    trkbt10
    trkbt10 localStorageにもっとセキュアなアクセス方法があれば何も考えずに突っ込めるのに

    2022/08/09 リンク

    その他
    uhavetwocows
    uhavetwocows 書きました!XSSがあるとフロントのコードと同じ権限で大抵のことができます、という話です

    2022/08/09 リンク

    その他
    getcha
    getcha 前の記事は「あとで読む」して読んでいない。そしてこの記事も「あとで読む」にした。

    2022/08/09 リンク

    その他
    ryousanngata
    ryousanngata メモリ上の変数は参照できないがpostMessageでやりとりしているのを傍受するだけで見れる、と。iframe版ではなくWebWorkerだとworkerの変数が辿れないと似たことができないので少し難しくなるはず(Auth0Clientの扱いによる)

    2022/08/09 リンク

    その他
    azzr
    azzr だよねぇ。XSSされたら負けなので、された後のmitigationをするより、XSSされないこと自体に注力すべき。CSPとかSRIとかsandbox iframeとか、できることはたくさんあるんだし。

    2022/08/09 リンク

    その他
    blog0x003f
    blog0x003f みんな本当に理解してて前のコメントにあった記事が読まれてたのかな

    2022/08/09 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog

    はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストーク...

    ブックマークしたユーザー

    • tosi292023/11/05 tosi29
    • techtech05212023/08/13 techtech0521
    • yamashiro01102023/08/04 yamashiro0110
    • soe-j2023/05/19 soe-j
    • mytechnote2023/03/29 mytechnote
    • qxd2022/11/12 qxd
    • ariteku2022/10/14 ariteku
    • kabukisan2022/08/18 kabukisan
    • fuyu772022/08/18 fuyu77
    • uuki_d2022/08/17 uuki_d
    • takaheraw2022/08/15 takaheraw
    • teppeis2022/08/15 teppeis
    • shirasugohan01412022/08/13 shirasugohan0141
    • donotthinkfeel2022/08/13 donotthinkfeel
    • threeMonths2022/08/11 threeMonths
    • kkeisuke2022/08/11 kkeisuke
    • love0hate2022/08/11 love0hate
    • unarist2022/08/10 unarist
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事