[B! あとで読む][http] gowithyouのブックマーク

セキュリティヘッダ警察です！既に包囲されている！観念してヘッダを挿入しなさい！ - エムスリーテックブログ

【セキュリティチームブログリレー2回目】こんにちは。エンジニアリンググループの山本です。セキュリティチームは、エンジニアリンググループ全体のセキュリティを向上させるためのバーチャルチームなのですが、各プロダクト開発チームのサービスをチェックして、協力しながら全体のセキュリティを向上させていくのがミッションです。そのお仕事の一環として「この部分、セキュリティヘッダが足りないから入れてください！」というやりとりを日常的に行なっています。今日はこの「セキュリティヘッダ」というものが一体何なのか、今さら人に聞けないアレコレを取りまとめてみたいと思います。セキュリティヘッダ警察の日常の図(もちろん冗談です) セキュリティヘッダそもそもセキュリティヘッダとは？比較的安全なセキュリティヘッダ X-Content-Type-Options X-XSS-Protection Strict-Tr

gowithyou 2023/06/14

リンク

ChatGPTをぬるぬるにする🐌Server-Sent Eventsの基礎知識

単方向通信であるということと、HTTP/1.1上で動作しているのが大きな特徴です。また、HTTP上で動作することから、通信の互換性が高く、セキュリティモデルも使いまわせるので安心です。どんな用途と相性がいいの？双方向通信がしたいわけでなければ、相性の幅がとても広いです。今回の ChatGPT のような、GPT がトークンを生成するごとに送るケースはもちろん、通知の未読件数バッジの更新、ニュース速報の表示など、サーバからイベントを送りたい時ならなんでも使えます。 HTTP/1.1で動くカラクリ SSEはHTTPのレスポンスヘッダにContent-Type: text/event-streamを指定した上で動作します。 SSEが動く流れクライアントがサーバーに HTTP/1.1 リクエストを送信し、イベントストリームに接続します。サーバーは、Keep-Alive 接続を使用して、T

gowithyou 2023/04/25

リンク

ブラウザキャッシュの仕組み

はじめに最近Denoをよく触っており、DenoのSSRフレームワークであるFreshのミドルウェア・キャッシュについて調べている際にブラウザキャッシュのEtagヘッダが使用されており、気になったのでブラウザキャッシュの仕組みについて調べてみました。 Etagの正体 Etagとは、ブラウザキャッシュの仕組みの中で使用されるHTTPレスポンスヘッダーでリソースの特定のバージョンに関する識別子のことです。 Etagがあることでウェブサーバーは、コンテンツが変更されていない場合はレスポンス全体を再送する必要がないので、キャッシュがより効率的になる。ブラウザキャッシュの設定についてブラウザキャッシュを設定する際に必要なHTTPレスポンスヘッダーはEtagを含めて以下の通りです。 Expiresヘッダー Cache-Controlヘッダー Last-Modifiedヘッダー Etagヘッダーそ

gowithyou 2023/04/10

リンク

Content-Disposition の filename という地雷。　(1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん

English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Em ail ライブラリ / Web Service 等} で脆弱性を見つけました。見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、（かなりわかりにくく）この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。この問題は、 Content-Dispo