タグ

browserとcspに関するflatbirdのブックマーク (2)

  • AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記

    AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 内容はスライドのとおりで、攻撃者はFiddlerなどを使って任意のCSP違反レポートJSONを送信可能であること、Firefoxの場合にはCSP違反レポートのJSON内に「<」「>」などが含まれるので、違反レポートを表示する管理画面でのエスケープ漏れがあると違反レポートを通じて管理画面内でXSSする、などの話を行い、実際に管理画面でのXSSのデモを行いました。 デモはあんまり細かいことは考えてなかったんですが、アドリブ苦手なにしむねあさんがいい味を出してて、横で見ていても楽しかったです。ちなみに直前の打ち合わ

    AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記
  • Firefox、XSS攻撃防止へ W3Cの仕様に対応

    Firefoxがクロスサイトスクリプティング(XSS)やデータインジェクションなどの攻撃を防ぐための「Content Security Policy 1.0」をサポートした。 米Mozilla Foundationは6月11日、Webサイト経由の攻撃阻止を目的とした仕様「Content Security Policy(CSP) 1.0」をWebブラウザのFirefoxに実装したと発表した。 CSPは、クロスサイトスクリプティング(XSS)やデータインジェクションなど、攻撃の常套手段として使われる手口を検出して軽減するために使われる。仕様が確定する前段階のCSPは2011年3月からFirefox 4.0に実装されていた。 2011年11月にはW3CがCSP 1.0の草案を策定し、1年後に勧告候補の段階に到達。GoogleChromeは2013年にリリースしたChrome 25でこれをサポー

    Firefox、XSS攻撃防止へ W3Cの仕様に対応
  • 1