記事へのコメント12

    • 人気コメント
    • 新着コメント
    unarist unarist 保存場所の比較だけで言えばトークンをローカル変数に閉じ込めるのはマシではあるが、実際には保存場所以外の隙からXSSで刺されたりするよ、と。

    2022/08/10 リンク

    その他
    NOV1975 NOV1975 元記事については僕も徳丸さんも「XSS脆弱性があれば全部一緒だよね」とコメントしていたが、ちゃんと検証してくれる人がいるとありがたいですね。とにかくまずXSS対策ですね。

    2022/08/10 リンク

    その他
    ockeghem ockeghem PoC出ました。結局、XSSの脅威に対しては、HttpOnlyなCookie、localStorage、Auth0流のin-memory方式のいずれも大差ないという結論でよいと思います。

    2022/08/10 リンク

    その他
    typex2 typex2 Javascriptから読めないcookieに設定したやつを使うならXSSがあっても大丈夫なんだよね?

    2022/08/10 リンク

    その他
    hinaloe hinaloe in-memory,すくなくともリロードして機能する、JSコードはパブリック、SPAで利用する、の前提が揃ってる時点でXSSできればそりゃ再現可能だわなというはなしで…?

    2022/08/09 リンク

    その他
    hdampty7 hdampty7 HttpOnlyのセッションクッキー方式なら認証そのものを取られることはない。まあ、ページの内容とかはXSSがあれば抜かれちゃいますけどね。穴があれば結局同じかなぁ。

    2022/08/09 リンク

    その他
    trkbt10 trkbt10 localStorageにもっとセキュアなアクセス方法があれば何も考えずに突っ込めるのに

    2022/08/09 リンク

    その他
    uhavetwocows uhavetwocows 書きました!XSSがあるとフロントのコードと同じ権限で大抵のことができます、という話です

    2022/08/09 リンク

    その他
    getcha getcha 前の記事は「あとで読む」して読んでいない。そしてこの記事も「あとで読む」にした。

    2022/08/09 リンク

    その他
    ryousanngata ryousanngata メモリ上の変数は参照できないがpostMessageでやりとりしているのを傍受するだけで見れる、と。iframe版ではなくWebWorkerだとworkerの変数が辿れないと似たことができないので少し難しくなるはず(Auth0Clientの扱いによる)

    2022/08/09 リンク

    その他
    azzr azzr だよねぇ。XSSされたら負けなので、された後のmitigationをするより、XSSされないこと自体に注力すべき。CSPとかSRIとかsandbox iframeとか、できることはたくさんあるんだし。

    2022/08/09 リンク

    その他
    blog0x003f blog0x003f みんな本当に理解してて前のコメントにあった記事が読まれてたのかな

    2022/08/09 リンク

    その他

    人気コメント算出アルゴリズムの一部にヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    関連記事

    【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog

    はじめに こんにちはセキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストーク...

    ブックマークしたユーザー

    • kabukisan2022/08/18 kabukisan
    • fuyu772022/08/18 fuyu77
    • uuki_d2022/08/17 uuki_d
    • takaheraw2022/08/15 takaheraw
    • teppeis2022/08/15 teppeis
    • shirasugohan01412022/08/13 shirasugohan0141
    • donotthinkfeel2022/08/13 donotthinkfeel
    • threeMonths2022/08/11 threeMonths
    • kkeisuke2022/08/11 kkeisuke
    • love0hate2022/08/11 love0hate
    • unarist2022/08/10 unarist
    • kaminashi-developer2022/08/10 kaminashi-developer
    • hotmilkcocoa2022/08/10 hotmilkcocoa
    • ogawa00712022/08/10 ogawa0071
    • FKU2022/08/10 FKU
    • shinagaki2022/08/10 shinagaki
    • jacoyutorius2022/08/10 jacoyutorius
    • sotarok2022/08/10 sotarok
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事