WebUSBでレイヤーが低まるWeb開発 - Speaker DeckChrome 61から使えるようになったWebUSB APIを使ってUSBデバイスと会話する方法を解説します。 これは2017年9月23日に行われた 第3回 カーネル/VM探検隊@北陸の発表資料です。
第3回 localStorageとpostMessageの使いどころ(3) | gihyo.jp
localStorageとpostMessage postMessageを使うことで、サーバを経由しないで異なるドメイン間でのデータ受け渡しが可能だということを説明しました。またlocalStorageを使うことで「サーバには送られないがブラウザにのみ保持されるデータ」を気軽に作ることができるようになりました。 「他サービスのid」ならまだしも「どんなサービスを使っているのか」までも秘匿(ひとく)したいケースは実際にはまれでしょうから、そこまでストイックな、完全にクライアントサイドでのみデータを保持するサービスにこだわる必要もないでしょうが、方向性としては興味深いと思います。クライアントサイドでのみデータを保持するということは、ブラウザのキャッシュをクリアしたらデータが消えるということでもあります。そんな状況は好ましくないでしょうから、localStorageに本当に永続化が必要な情報を入
iframe sandbox は万能ではない - 葉っぱ日記
HTML5で導入されたiframe要素のsandbox属性は、そのiframe内のコンテンツに対しJavaScriptの実行を始め様々な制約を課すことでセキュリティの向上に役立つ機能である。例えば、以下のように指定されたiframeでは、iframe内からformのsubmitなどはできるが、iframe内でのJavaScriptの実行やtarget=_blankなどによってウィンドウを開くことなどは禁止される。 <iframe sandbox="allow-forms" src="..."></iframe> sandbox属性に明示的に allow-scripts という値を指定しない限りはiframe内では直接的にはJavaScriptは実行できないが、かといってiframe内から間接的にJavaScriptを必ずしも実行させることが不可能かというとそうでもない。 sandbox属性
HTML5のBattery Status APIでユーザー追跡の可能性が指摘される | スラド IT
HTML5のBattery Status APIで取得したデータを利用して、Webサイトがユーザーを特定する可能性が指摘されている(論文: PDF、 The Guardianの記事、 Mashableの記事、 V3.co.ukの記事)。 Battery Status APIは、Webサイトがモバイルデバイスやノートパソコンのバッテリー状態を把握し、必要に応じて低消費電力モードと高パフォーマンスモードに切り替えられるようにするためのもの。現在のところ、Battery Status APIはChromeおよびOpera、Firefoxで利用できる。W3Cではプライバシーへの影響は少ないとして、ユーザーの承認を得ることなく呼び出せるようにしている。 Battery Status APIでは充電中かどうか、バッテリー残り時間/充電完了までの残り時間(秒)、バッテリー残量レベル(0.0~1.0)とい
mXSS - Mutation-based Cross-Site-Scripting のはなし - 葉っぱ日記
ここ数年、XSS業界の最先端で盛り上がっている話題として mXSS というものがあります。mXSS - Mutation-based XSS とは、例えば innerHTML などを経由してすでに構築されているDOMツリーを参照したときに、本来のDOM構造とは異なる結果を得てしまい、そのためにHTML構造の破壊を引き起こすという類のDOM based XSSの亜種とも言えます。 mXSSに関しては以下の資料などが参考になります。 The innerHTML Apocalypse mXSS Attacks: Attacking well-secured Web-Applications by using innerHTML Mutations どちらの資料にも掲載されていますが、mXSSのきっかけとなったのは 「教科書に載らないWebアプリケーションセキュリティ(1):[これはひどい]IEの
Webアプリ開発者のためのHTML5セキュリティ入門
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
攻撃シナリオを使って解説するApplicationCacheのキャッシュポイズニング
攻撃シナリオを使って解説するApplicationCacheのキャッシュポイズニング 吾郷 協 最近ウィンナーと燻製の自作にはまっています。@kyo_agoです。 この記事は1/28に行われた、第44回HTML5とか勉強会(HTML5とセキュリティ編)で発表した内容を元に書いています。 今回はApplicationCacheのキャッシュポイズニングに関してお話したいと思います。 最初に用語について説明します。 キャッシュポイズニングとは、キャッシュに対して攻撃コードを送り込み、そのキャッシュ経由で攻撃コードを実行させる攻撃手法です。 Googleで「キャッシュポイズニングを検索」した場合、検索結果の上位はDNSのキャッシュポイズニングに関する内容がほとんどですが、最近はクライアントサイドのキャッシュポイズニングも話題に上がるようになっています。 「クライアントサイドのキャッシュポイズニング
第44回HTML5とか勉強会「HTML5とセキュリティ」アウトラインメモ
第44回HTML5とか勉強会「HTML5とセキュリティ」 に参加してきたのでメモ。 2014/01/29(#html5j)第44回HTML5とか勉強会(HTML5とセキュリティ – Togetterまとめ 第44回 HTML5とか勉強会 – YouTube 今から始めるHTML5セキュリティ – 松本悦宜 一般社団法人JPCERTコーディネーションセンターの紹介 「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」 HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書 アジェンダ – 報告書の概要 JavaScript API XHR ブラウザが実装してる関連機能 HTML5は開発者にとって非常に便利 => 攻撃者にとっても便利 表現の幅が広がる 攻撃の幅も大きく広がる HTML5とセキュリティ 従来のHTMLでは影響がなかったも
Google Chromeが盗聴ツールに? 研究者が「バグ」報告
不正サイトを使ってChromeを盗聴ツールとして利用すれば、コンピュータ周辺で交わされる電話や会議などの会話を録音できてしまうと研究者は解説している。 米GoogleのWebブラウザ「Chrome」に、音声認識機能を使ってユーザーのコンピュータ周辺の音声を収録できてしまうバグが存在するとして、イスラエルの研究者が自身のブログで実証ビデオを公表した。 研究者がWebサイトに掲載した実証ビデオでは、To doリストを装った不正サイトを使ってユーザーが音声認識を有効にするよう仕向けている。Chromeのタブには音声を収録中であることを示す赤い信号が点滅する。ところが、このWebサイトを離れて他のWebサイトに切り替え、赤い信号が消滅した後も、不正サイトで密かに音声の収録を続けることができてしまうという。 音声収録機能は休止状態にしておいて、例えば「NSA」「シリア」といった特定の単語が聞こえると
HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識
HTML5/スマホアプリ開発者が知らないと手痛い、セキュリティ5つの常識:第8回OWASP Nightレポート 2013年11月14日夜、日本ヒューレット・パッカード(以下、日本HP)本社で「OWASP Night 8th」が開催された。 OWASP NightはWebアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体「OWASP(Open Web Application Security Project)」の日本支部が主宰する定期セミナーだ。第8回目となる今回は、日本HPが協賛しての開催となり、某TVドラマのロケ地にもなったという本社カフェテリアで濃厚なセッションが行われた。 当日は、こちらも日本HPが協賛する情報セキュリティカンファレンス「PacSec2013」、および「Mobile Pwn2Own」に参加した講師も登場し、大きな盛り上がりを見せていた。 本記事で
HTML5カンファレンス2013 WebSocket, WebRTC, Socket API, … 最新Webプロトコルの傾向と対策 の参加メモ #html5j
HTML5カンファレンス2013 WebSocket, WebRTC, Socket API, … 最新Webプロトコルの傾向と対策 の参加メモ #html5j HTML5カンファレンス2013(http://events.html5j.org/conference/2013/11/)の13:00〜13:45、ルーム6Aの「WebSocket, WebRTC, Socket API, … 最新Webプロトコルの傾向と対策」のメモです。 NTTコムの小松さんのセッションです。 SPDY周りの話 10年前はたった一つのプロトコル、HTTP。マイナーバージョンは変わったがずっとこれ。 これがHTML5という言葉が出てきて、続々と新しいプロトコルが出てきた。 ・WebSocket ・SPDY(→HTTP/2.0) ・WebRTC ・Row Socket API これらはTCPという通信プロトコルの
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
HTML5関連のセキュリティ情報 - 葉っぱ日記
HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの?」みたいなリクエストもあればぜひ言って下さいませ。 JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013) HTML5セキュリティ その1:基礎編、XSS編 (2013-06-13 OWASP Night 6th) Web::Security beyond HTML5 (2012-09-28 YAPC::Asia 2012) HTML5時代のWebセキュリティ (2012-09-15 第5回愛媛情報セキュリティ勉強会) Same-Origin Policy とは何なのか。 - 葉っぱ日記 XMLHttpRequestを使ったCSRF対
HTML5時代のWeb開発者が知らないとガチヤバな3つの未来予測と6つの脆弱性対策
8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JPCERT コーディネーションセンター 講演・執筆一覧
2014/01/29(#html5j)第44回HTML5とか勉強会(HTML5とセキュリティ
GitHub - yandex/csp-reporter: Content Security Policy logs parser
https://ci3.googleusercontent.com/proxy/OTRsAQYQeglz9AP-9g8nU93q4AGcCDSGybL8Rl_1kpN8fbpv0OgTR4F8DEb7J4DDAHfo6GpHhtOpjsEgeva9ww1S7xYpySSHY3DYejYVyMpllVMoeF5OZV06HI8QS6LgKg90wazhg0M=s0-d-e1-ft
[PDF] 今から始めるHTML5セキュリティ
電話番号を無断で盗むチャットアプリ、マカフィーが警告