本資料はセキュリティ・キャンプ全国大会 2021 B1 の講義で利用したものです。お問合せは Twitter アカウント 宛によろしくお願いします。
![ちいさな Web ブラウザを作ってみよう(オンライン講義版) / Build Your Own Web Browser](https://cdn-ak-scissors.b.st-hatena.com/image/square/a5f830280da7ab246e28fa93a483de78d58aeee3/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F8017703fa09e468e892125b69aeb45e9%2Fslide_0.jpg%3F18752872)
autofill_ui.md 見た目の上で、隠されているフィールドに対しても自動入力してしまうという問題が話題になっている(2017年1月) https://github.com/anttiviljami/browser-autofill-phishing のだけれど、この問題の歴史はとても古い。自分も調査したり問題を報告したりしているので、振り返ってみる。 2012年の話 2012年4月のShibuya.XSS #1 https://atnd.org/events/25689 で、Hamachiya2が発表した http://hamachiya.com/junk/x-autocompletetype.php この問題に関連して「手の込んだクリックジャッキング」を使って情報を盗み出すデモを作った。 https://plus.google.com/112675818324417081103/
本書は、毎日使っているWebブラウザをハッキングし、さらなる攻撃の足がかりとして利用する方法について、実用的な知識を解説します。 Webブラウザに対する攻撃は、広く普及しているブラウザを標的にするのが一般的ですが、あまり普及していないからといって標的にならないわけではありません。本書では、Firefox、Chrome、Internet Explorerを主に取り上げていますが、一部最新モバイルブラウザにも踏み込んでいます。モバイルブラウザはまだ大きな注目を集めていませんが、これを標的とする攻撃も増えています。 Webブラウザの普及度を考えれば、その数に比例してセキュリティの問題やエクスプロイトの危険性が高まるのは当然です。本書では、今を時めく最新のブラウザをハッキングする方法をハッカーの立場から説明し、そこから攻撃に対する防御方法を考えます。 第1章 Webブラウザのセキュリティ 第2章
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
なにげにしらなかったんだけど、 IEで別ドメインのiframeを読み込むと、 そのiframe内のcookieが有効にならない。 そーゆーときは、HTTPのレスポンス時リクエスト時のヘッダーに 下記のkey&valueを出力しておけばOKらしい。 ("P3P", 'CP="CAO PSA OUR"')こーするだけで、あらふしぎ。IEがCookieを保存して意図した挙動をしてくれるじゃん。 この宣言の意味 P3P コンパクト ポリシー ヘッダーを追加し、ユーザーのデータを使用して悪質な操作が実行されないことを宣言すればCookieが有効になるみたい。Internet Explorer が適切なポリシーを検出すると、Cookie の設定が許可されます。 その、宣言の条件とは下記の3つ。 CAO サイトはユーザー自身の連絡先情報へのアクセスを提供すること PSA データはオンラインの個人に接続さ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く