Web Platform Security PhD Summit @ Google MunichWeb Platform Security. The threats browser vendors are exploring at the moment, and some mitigations thereof.
Cookies specification compatibility in modern browsers
Cookies specification compliance issues in modern browsers Star research by Ivan Nikulin (email: ifaaan@gmail.com, github: inikulin, twitter: _inikulin_) This table lists RFC 6265 compliance issues found in modern browsers. Data was obtained by running the IETF test suite across major browsers using a specially made test runner. Test fails are divided into categories for the working group to disti
Browserleaks - Check your browser for privacy leaks
BrowserLeaks is a suite of tools that offers a range of tests to evaluate the security and privacy of your web browser. These tests focus on identifying ways in which websites may leak your real IP address, collect information about your device, and perform a browser fingerprinting. By understanding these risks, you can take appropriate steps to protect your online privacy and minimize your exposu
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
David W. Chadwick先生のPKIの講演を聞いてきた
Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 仕事がら、たまに証明書関連とかPKIのことに絡むことが多いのだけど、JPNIC主催でKent UniversityのDavid W. Chadwick先生がPKIの講演をするということで行ってきた。彼はX.500で有名な方だよね。 内容としてはX.509の現状とそれの問題点、その問題点をどう解消するか的な話なんだけど、現在だと証明書発行局が信頼できるかどうかなんてのはわからないし、実際いろんなプロセスを通じてブラウザはルート証明書を入れているけど、そのルート証明書を発行した機関は常にセキュアであるかなんてわかりはしない。DigiNotarの件が発生したプロセスを考えても、それを利用者が問題のあるプロセスが存在してたということを知る術がない。知るのは事件
プライベートブラウジングモードの判定
プライベートブラウジングモードのいろいろ - Please Sleep の続き。あるブラウザがプライベートブラウジングモード (Private Browsing, InPrivate Browsing, Incognito) であるか JavaScript で判定する方法について。 browser history sniffing の対策が入りプライベートモードの一般的な判定ができなくなったと思われたが、ブラウザによっていくつかの API の挙動が通常・プライベートモードで変化するため、それを利用して判定ができるということを教えていただいた。 @cou929 http://t.co/1OE9k3kJv9 プライベートブラウズ判定方法あります、SafariだとlocalStorage,DNT Firefox Chromeは https://t.co/mDDRfUeCP9 — ma
Insane in the IFRAME -- The case for client-side HTML sanitization
Insane in the IFRAME -- The case for client-side HTML sanitization Server-side HTML sanitization is a familiar web application building block, yet despite years of offensive security research, defensive “sanitizer science” is still a kind of voodoo magic. This talk will make the case that as server-side HTML sanitizers lack the ability to effectively simulate every potential user agent, the client
各ブラウザが解釈可能なcharsetの比較表
変更履歴 2013年 3月 6日:作成 2013年 4月11日:Firefox 20、19でブラウザメニューからのみ選択可能になっていたBig5-HKSCSを再びサポートしたようなので更新 https://bugzilla.mozilla.org/show_bug.cgi?id=845743 2013年 8月24日:Firefox 20、「UTF-16」と指定した場合、「UTF-16LE」のエイリアスとして固定で解釈するようになったようなので更新 2014年 3月22日:Firefox 28の結果に更新(使用できるものがかなり限られた/一部がreplacementになった) 2014年 9月 5日:Chrome 37の結果に更新(一部がreplacementになった) 2014年12月15日:Chrome 39の結果に更新(SCSU/BOCU-1/CESU-8/ibm864のサポート終了、
Xframeoptions
AVTokyo2011 Web-talk資料 X-Frame-Options 覚書 hoshikuzu|star_dust ※スッカスカ資料ですみません
Fun with data: URLs
Data URLs, especially in their base64 encoding can often be used for anti XSS filter bypasses. This gets even more important in Firefox and Opera, where newly opened documents retain access to opening page. So attacker can trigger XSS with only this semi-innocent-link: <a target=_blank href="data:text/html,<script>alert(opener.document.body.innerHTML)</script>">clickme in Opera/FF</a> or even use
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Electron TechTalk
https://research.google.com/pubs/archive/45366.pdf
[PDF] Crippling HTTPS with unholy PAC
IE/Firefox Redirection Issue – FB Oauth2 Bypass – BugCrowd | Soroush Dalili (@irsdl) Blog
Google Safe Browsing と埋め込みリソースの関係
[PDF]Got your Nose! How to Steal Your Precious Data Without Using Scripts by Mario Heiderich
Shazzer - Shared Fuzzer
Shazzer - Shared Fuzzer
徳丸本に載っていないWebアプリケーションセキュリティ
http://src.chromium.org/svn/trunk/src/net/base/mime_sniffer.cc