SPAセキュリティ超入門 | ドクセル
スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs
iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices
iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices We present iLeakage, a transient execution side channel targeting the Safari web browser present on Macs, iPads and iPhones. iLeakage shows that the Spectre attack is still relevant and exploitable, even after nearly 6 years of effort to mitigate it since its discovery. We show how an attacker can induce Safari to ren
OAuthで使われている "サービス間のデータのやりとり"
ritou です。 異なるサービス間のデータのやりとり 前回の記事にちょっと書きましたが、OAuthにおいてUser-Agent(ブラウザ)経由で異なるサービス間を行ったり来たりする部分があります。 その際に、当然データのやりとりが行われているわけですが、今日はここに注目します。 2つのサービスがある時に、どのようにデータをやりとりするかを整理することで一般的なWebアプリケーション開発にも生かせるかもしれません。 5つの方法 今回は5つの方法を紹介します。 の前に、2種類の通信方法が出てきます。 FrontChannel : User-Agentを経由したリダイレクト BackChannel : 2つのサービスのサーバ間でのやりとり ここから紹介するやり方は、これらを単体で利用、もしくは組み合わせて利用します。 1. FrontChannel GET いわゆる クエリパラメータのついたリ
OAuth 2.1 のドラフトから OAuth 2.0 のプラクティスを学ぶ - VA Linux エンジニアブログ
はじめに OAuth 2.0 と OAuth 2.1 の違い 1. Authorization Code grant フローでは PKCE を標準で使用する 2. リダイレクトURIの検証は文字列の完全一致で行わなければならない 3. Implicit grant フローは仕様から除去される 4. Resource Owner Password Credentials grant フローは仕様から除去される 5. Bearer トークンをURIのクエリ文字列として渡す方法は仕様から除去される 6. パブリッククライアントでは、リフレッシュトークンを利用できる送信者または利用回数を制限する 何をしないといけないか 執筆者 : 山下雅喜 はじめに OAuth 2.0 が RFC 6749 (The OAuth 2.0 Authorization Framework) としてリリースされてから1
OAuth Community Site
An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications. Learn more about OAuth 2.0 » For app developers... If you're building... web applications desktop applications mobile applications JavaScript or browser-based apps OAuth is a way to get access to protected data from an application. It's safer and more secure than asking users t
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
