[B! WEB][Security] mizdraのブックマーク

Webセキュリティのあるきかた

2024/10/5 YAPC::Hakodate 2024

mizdra 2024/10/07

よくまとまってて良かった

security
web

リンク

Chromium policy on JavaScript dialogs | Blog | Chrome for Developers

History of JavaScript dialogs JavaScript was introduced in 1995, and in the very first version of JavaScript were methods on the window object named alert(), confirm(), and prompt(). While they fit into the JavaScript of the time, their synchronous API is probl ematic for modern browsers. Because the JavaScript engine needs to pause until a user response is obtained, the JavaScript dialogs are app-

mizdra 2024/09/26

web
security

リンク

Requesting performance isolation with the Origin-Agent-Cluster header | Articles | web.dev

Requesting performance isolation with the Origin-Agent-Cluster header Stay organized with collections Save and categorize content based on your preferences. A new HTTP response header to limit domain-wide scripting and request dedicated resources from the browser. Origin-Agent-Cluster is a new HTTP response header that instructs the browser to prevent synchronous scripting access between same-site

mizdra 2024/08/05

リンク

ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita

はじめにはじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。前提発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここでブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか？といった疑問が

mizdra 2024/07/15

リンク

Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io

Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H

mizdra 2024/05/08

リンク

なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ

はじめにこんにちは。バックエンドエンジニアの小笠原です。今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したいと思います。ショップオーナー向けに掲載していたお知らせの内容背景全ては iOS14.5から端末識別子の取得に同意が必要になったことから始まったことの発端は、iOS14.5以降からIDFA（端末ごとに持つ固有識別子）の取得に端末所有者の許可が必要になったことでした。この変更は、端末所有者側から見ると情報の活用範囲を自身で管理できることでよりプライバシーに配慮されるようになった良い変更と言えるでしょう。一方で、広告出稿側から見た場合は拒否をしたユーザーの

mizdra 2024/03/21

リンク

Post-Spectre Web Development

Post-Spectre Web Development Editor’s Draft, 19 July 2021 This version: https://w3c.github.io/webappsec-post-spectre-webdev/ Latest published version: https://www.w3.org/TR/post-spectre-webdev/ Previous Versions: https://www.w3.org/TR/2021/WD-post-spectre-webdev-20210316/ Feedback: public-webappsec@w3.org with subject line “[post-spectre-webdev] … message topic …” (archives) Issue Tracking: GitHub

mizdra 2023/12/02

security
web

リンク

CSP: frame-ancestors - HTTP | MDN

mizdra 2023/12/02

こんなのあるんだ

web
security

リンク

Cookie Expires and Max-Age attributes now have upper limit | Blog | Chrome for Developers

Build with Chrome Learn how Chrome works, participate in origin trials, and build with Chrome everywhere.

mizdra 2023/08/23

リンク

Cookie vs Local Storage マルウェア耐性等に差はあるか？Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog

はじめにこんにちは。セキュリティエンジニアの@okazu_dmです。皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうかは頻繁に議論されるところです。しかし、ブラウザに保存されたデータが暗号化されているかどうかはまた別の攻撃経路への耐性の話であり、馴染みがないのではないでしょうか。これは、基礎知識としてLocal StorageとCookieの仕組み/挙動の紹介と比較をしつつ、Google Chromeにおけるそれらの暗号化の実装上の違いを検証する記事です。なお、保存先のストレージとAuth0のアクセストークンのXSS耐性との関連は過去に別の記事で検証しています。興味がある方

mizdra 2023/03/14

良い

リンク

"Same-site" and "same-origin" | Articles | web.dev

"Same-site" and "same-origin" Stay organized with collections Save and categorize content based on your preferences. "Same-site" and "same-origin" are frequently cited but often misunderstood terms. For example, they're used in the context of page transitions, fetch() requests, cookies, opening popups, embedded resources, and iframes. This page explains what they are and how they're different from

mizdra 2023/03/13

security
web

リンク

Security | Raycast API

mizdra 2023/01/04

security
web

リンク

Load cross-origin resources without CORP headers using COEP: credentialless | Blog | Chrome for Developers

We have shipped the new Cross-Origin Embedder Policy (COEP) value credentialless which allows the browser to load cross-origin resources which don't use the Cross-Origin Resource Policy (CORP), by sending a request without credentials, such as cookies. This helps developers to adopt cross-origin isolation more easily. Why we need cross-origin isolation Some web APIs increase the risk of side-chann

mizdra 2022/07/09

security
web

リンク

Content Security Policy のレポートを収集するためにやったこと - Classi開発者ブログ

はじめにこんにちは、開発本部所属エンジニアの id:kiryuanzu です。現在、Classi ではサービスのセキュリティリスクをできる限りなくすために Content Security Policy を導入して脆弱性を検知する仕組みの導入を進めています。本記事ではこの仕組みを導入する上でどのような手順が必要であり、どのような箇所で苦戦するポイントがあったかについて紹介していきます。筆者は今まで CSP対応に携わったことがなかったのですが、導入段階の時点で想定していたよりも様々な知識が必要なことがわかり、記事にしたいと思いました。もし数ヶ月前の自分と同じように初めてCSP対応に関わる人の一助となれば幸いです。 Content Security Policy (通称: CSP) って何? Content Security Policy とは、HTTPヘッダの種類の1つであり、クロ

mizdra 2022/07/09

良い

リンク

セキュリティの報告先を記述する、security.txtの提案仕様 (RFC9116) - ASnoKaze blog

Webサイトのセキュリティリスクを発見したものの、連絡先が適切に公開されていないがために、結局報告されず脆弱性が放置されるケースがあるようだ(国内だと、IPA脆弱性関連情報の届出受付もあるが) 発見者が脆弱性等の報告を出来るような情報を、Web作成者が提供できるようにする仕様がIETFに提出されている。この「A Method for Web Security Policies」という提案仕様では、security.txtをドメイン直下のURLに配置し、連絡先などを記述するようになっている。 security.txt security.txtは例えば以下のとおりである # Our security address Contact: security@example.com Contact: +1-201-555-0123 Contact: https://example.com/secur

mizdra 2022/06/20

面白い

security
web

リンク

CSPの仕様に report-sample が追加された - ASnoKaze blog

まだ、WIPではあるもののCSPの仕様に "report-sample" と言う機能が追加されました(URL)。これは、違反したインラインのScriptやStyleの最初の40文字がレポートに追加されます。外部ファイルの場合はレポートされません。昨年から議論がされていましたが、もともとはFirefoxに以前実装されていたscript-sampleプロパティと同等の機能ですが、Styleも対象になります。これにより、今までレポートは送られてくるもの攻撃なのかそうじゃないのか分からなかったというケースが、多少なりとも少なくなるのではないだろうか。すでに、Chromeへの実装が進められています(URL) report-sample 普通のCSPと同様に、HTTPヘッダもしくはmetaタグで report-sampleを指定します。 Content-Security-Policy: scri

mizdra 2022/05/19

security
web

リンク

Sign-in form best practices | Articles | web.dev

Sign-in form best practices Stay organized with collections Save and categorize content based on your preferences. Use cross-platform browser features to build sign-in forms that are secure, accessible and easy to use. If users ever need to log in to your site, then good sign-in form design is critical. This is especially true for people on poor connections, on mobile, in a hurry, or under stress.

mizdra 2022/02/06

良いまとめ

リンク

Cross Origin iframe からの alert/confirm/prompt 呼び出しの無効化 | blog.jxck.io

しかし、実際に M92 がリリースされてからは、この機能が壊れたことによる影響が多数報告されていたため、実装者が想定していた以上に影響はあったといえるだろう。他のブラウザの反応実際にロールアウトしたのが Chrome/Edge であったため、いつものように「また Google が勝手にやっている」と思う人もいるようだが、実際には他のブラウザも Positive を表明している。 Firefox: https://github.com/whatwg/html/issues/5407#issuecomment-606417807 Safari: https://github.com/whatwg/html/issues/5407#issuecomment-760574422 また、この合意が取れているため、既に仕様にもマージされている。 Add early return to JS dia

mizdra 2021/08/04

良い

リンク

Origin 解体新書

Web 技術解体新書第一章 Origin 解体新書 Same Origin Policy とは Web において非常に重要なセキュリティモデルの 1 つだ fetch や XHR でリクエストを送信したときに、 CORS 違反で失敗したり、 Preflight という謎のリクエストが送信されたりして悩んだ経験があるかもしれない。これらは全て、ユーザを保護するために設けられた Same Origin Policy という制限を、ブラウザが遵守した結果なのだ。本書はこの重要な Origin という概念について、そもそもなぜそんなものが必要なのかという背景や、それがユーザを保護するメカニズム、 JSONP はなぜ危険なのか、 Preflight が飛ぶ理由、 Service Worker など新しい API との連携、 Spectre によって発覚した脆弱性と CORP,COOP,COEP,

mizdra 2020/10/17

リンク

Script Error — Javascript Solution with Sample Code | Sentry

The Probl em Script error. “Script error” is what browsers send to the onerror callback when an error originates from a JavaScript file served from a different origin (different domain, port, or protocol). It’s painful because even though there’s an error occurring, you don’t know what the error is, nor from which code it’s originating. And that’s the whole purpose of window.onerror – getting insig

mizdra 2020/10/10

リンク

はてなブックマーク

タグ

関連タグで絞り込む (17)

WEBとSecurityに関するmizdraのブックマーク (36)

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス