AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記
AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 内容はスライドのとおりで、攻撃者はFiddlerなどを使って任意のCSP違反レポートJSONを送信可能であること、Firefoxの場合にはCSP違反レポートのJSON内に「<」「>」などが含まれるので、違反レポートを表示する管理画面でのエスケープ漏れがあると違反レポートを通じて管理画面内でXSSする、などの話を行い、実際に管理画面でのXSSのデモを行いました。 デモはあんまり細かいことは考えてなかったんですが、アドリブ苦手なにしむねあさんがいい味を出してて、横で見ていても楽しかったです。ちなみに直前の打ち合わ
Firefox、XSS攻撃防止へ W3Cの仕様に対応
Firefoxがクロスサイトスクリプティング(XSS)やデータインジェクションなどの攻撃を防ぐための「Content Security Policy 1.0」をサポートした。 米Mozilla Foundationは6月11日、Webサイト経由の攻撃阻止を目的とした仕様「Content Security Policy(CSP) 1.0」をWebブラウザのFirefoxに実装したと発表した。 CSPは、クロスサイトスクリプティング(XSS)やデータインジェクションなど、攻撃の常套手段として使われる手口を検出して軽減するために使われる。仕様が確定する前段階のCSPは2011年3月からFirefox 4.0に実装されていた。 2011年11月にはW3CがCSP 1.0の草案を策定し、1年後に勧告候補の段階に到達。GoogleのChromeは2013年にリリースしたChrome 25でこれをサポー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
