[B! http] msakamoto-sfのブックマーク

msakamoto-sf id:msakamoto-sf

httpに関するmsakamoto-sfのブックマーク (336)

RFC 9931、HTTP/1.1における楽観的プロトコル遷移のセキュリティ - ASnoKaze blog
『RFC 9931 Security Considerations for Optimistic Protocol Transitions in HTTP/1.1』が発行されました。このRFCはHTTP/1.1におけるプロトコル遷移(Protocol Transitions)のセキュリティ上の注意点について記述しています。HTTP/1.1ではWebSocket(Upgrade)やCONNECT-TCPといった機能で、確立したコネクションを別の用途に使用することが出来ます。この時に楽観的な処理を行うとセキュリティ上の問題になるということです。この問題は、RFCを書く人やプロトコルスタックを実装する(ブラウザ実装者など)が意識する問題で、通常のWebエンジニアは特に意識することはないのかなと思います。楽観的プロトコル遷移によるRequest Smuggling 楽観的プロトコル遷移(Op
msakamoto-sf 2026/03/31
http

RFC

あとで読む
リンク
HTTP Host header attacks | Web Security Academy
msakamoto-sf 2026/03/19
security

http

あとで読む
リンク
Gotta cache 'em all: bending the rules of web cache exploitation
msakamoto-sf 2026/03/19
URL path 正規化仕様のズレが引き起こすアクセス制御バイパス技法

security

http

nginx

Apache

cdn

あとで読む
リンク
Abusing HTTP hop-by-hop Request Headers | Application Security Cheat Sheet
This section covers techniques which can be used to influence web systems and applications in unexpected ways, by abusing HTTP/1.1 hop-by-hop headers. Systems affected by these techniques are likely to have multiple caches/proxies that process requests before reaching a server application.
msakamoto-sf 2026/03/18
"Hop-by-Hop Header Abuse" の参考

security

http

proxy

あとで読む
リンク
Akamai Mitigates Hop-by-Hop Header Abuse Leading to Request Smuggling
msakamoto-sf 2026/03/18
"Hop-by-Hop Header Abuse" の参考

security

http

proxy

あとで読む
リンク
When Proxies Become the Attack Vectors in Web Architectures
msakamoto-sf 2026/03/18
"Hop-by-Hop Header Abuse" の参考

security

http

proxy

あとで読む
リンク
ローカル HTTPS 開発専用ツール SPTTH を公開した | blog.jxck.io
Intro http://localhost:3000 での開発には限界がある。しかし、本番と同じように https://example.com でアクセスできる環境をローカルに作るには、ドメインの解決、証明書の発行、443 での起動など、少し手間がかかる。そこで、必要な全てを 1 つのツールで行い、様々な開発環境を再現するためのツールを開発したので、紹介する。 Jxck/sptth: reverse https proxy (https - sptth) for local development https://github.com/Jxck/sptth localhost の罠 localhost はあまりにも特別なホストであるため、権限などの挙動は、本番ドメインにデプロイすると変わる。また、本番ドメインとは Origin が異なるため、連携のためのあらゆるセキュリティ境界も変
msakamoto-sf 2026/02/27
https

DNS

proxy

開発

development

あとで読む

web制作

http

TLS
リンク
Cross-Site ETag Length Leak | XS-Spin Blog
msakamoto-sf 2026/02/19
security

http

あとで読む
リンク
Slackで発見されたHTTPリクエスト・スマグリング - Shikata Ga Nai
Hello there, ('ω')ノ 1. きっかけは“なんとなく”の調査研究者は特に大がかりな準備をしていたわけではなく、Slackのサブドメイン（slackb.com）を確認中に「もしかして…」と気軽に試したのが始まりでした。 👉 ハッカー的思考ポイント「大手サービスでも古い脆弱性は残っているかもしれない」という直感を持ち、深く掘らずともまずは試してみることが重要です。 2. CL.TE型リクエスト・スマグリングの実行彼が投げたリクエストはシンプルでした： POST / HTTP/1.1 Host: slackb.com Content-Length: 13 Transfer-Encoding: chunked 0 GET /some/endpoint HTTP/1.1 X-Test: value Akamai（フロントのリバースプロキシ） → Content-Length
msakamoto-sf 2025/11/03
http

slack

security
リンク
RFC 9457: Problem Details for HTTP APIs
RFC 9457 Probl em Details for HTTP APIs Abstract This document defines a "probl em detail" to carry machine-readable details of errors in HTTP response content to avoid the need to define new error response formats for HTTP APIs.¶ This document obsoletes RFC 7807.¶ Status of This Memo This is an Internet Standards Track document.¶ This document is a product of the Internet Engineering Task Force (IE
msakamoto-sf 2025/10/31
RFC

http

あとで読む
リンク
HTTPを逆向きに接続する PTTHの標準化動向メモ - ASnoKaze blog
以前紹介した、逆向きにコネクションを張る Reverse HTTPという提案仕様が提出されています。 HTTPレスポンスを行う側からコネクションを確立するかたちになります。説明は下記記事参照。 asnokaze.hatena blog.com この取り組みは一定の興味を持たれ、IETFで標準化活動に動きがあります。7月に行われたIETF 123でもBoFが開催されました。それが、PTTH (Protocol for Transposed Transactions over HTTP) BoF です。PTTHはHTTPの綴を逆にしたと一種のお遊びだとおもわれる。 (IETF 123 スライド) このBoFではユースケースについて発表が行われました。主にCDNなどにおいて、オリジンサーバをインターネットリーチャブルにする必要が無いという例が挙げられます。オリジンサーバ側からProxyにコネ
msakamoto-sf 2025/10/10
http

protocol

proxy
リンク
Cookie Chaos: How to bypass __Host and __Secure cookie prefixes
Cookie Chaos: How to bypass __Host and __Secure cookie prefixes Published: Wednesday, 3 September 2025 at 14:46 UTC Updated: Wednesday, 3 September 2025 at 14:46 UTC Browsers added cookie prefixes to protect your sessions and stop attackers from setting harmful cookies. In this post, you’ll see how to bypass cookie defenses using discrepancies in browser and server logic. For a visual walk‑through
msakamoto-sf 2025/09/22
security

cookie

browser

unicode

http
リンク
HTTP/1.1 must die: the desync endgame
Published: 06 August 2025 at 22:20 UTC Updated: 17 October 2025 at 10:13 UTC Abstract Upstream HTTP/1.1 is inherently insecure and regularly exposes millions of websites to hostile takeover. Six years of attempted mitigations have hidden the issue, but failed to fix it. This paper introduces several novel classes of HTTP desync attack capable of mass compromise of user credentials. These technique
msakamoto-sf 2025/09/07
security

http

あとで読む
リンク
比較的安全にMCPサーバを動かす - LIFULL Creators Blog
KEELチームの相原です。前回のエントリは「小さい経路最適化ミドルウェアを実装してあらゆるAZ間通信を削減する」でした。 www.lifull.blog 今回は、MCPサーバを比較的安全に動かすために色々やってた話を書きたいと思います。 MCPについて MCPサーバのリスクなるべくローカルで動かさないローカルではせめてDockerで動かす無理やりHTTP Transportに対応するセッションの開始コマンドの起動ペイロードを受け取るためのエンドポイントの実装まとめ MCPについて MCPはModel Context Protocolの略で、Anthropicが標準化を主導するLLMとその外部を繋ぐプロトコルです。 github.com これによりGitHubやPlaywrightといった外部のツールをLLMが自律的に利用できるようになり、OpenAIもサポートを表明したこ
msakamoto-sf 2025/05/09
docker

proxy

http

AI

security

mcp

LLM

プログラミング

programming

あとで読む
リンク
MCP サーバーの Streamable HTTP transport を試してみる
MCP では stdio と Streamable HTTP の 2 つの transport が定義されています。TypeScript SDK では v1.10.0 から Streamable HTTP transport がリリースされました。この記事では MCP サーバーを構築し、Streamable HTTP transport を試してみます。 MCP（Model Context Protocol）では JSON-RPC を使用してメッセージをエンコードしています。クライアントとサーバー間のトランスポート方式として以下の 2 つが定義されています。 stdio: 標準入出力を介した通信（主にローカル実行向け） Streamable HTTP: HTTP ストリーミングを介した通信（リモートサーバー向け）現在（2025 年 4 月時点）では、多くの MCP クライアントとサーバー
msakamoto-sf 2025/04/20
http

mcp

AI

あとで読む
リンク
Cookieの安全性を高める "__HttpOnly-"プレフィックスの提案仕様 - ASnoKaze blog
新しくCookieに"__HttpOnly-"プレフィックスを追加する『HttpOnly cookie prefix』という提案仕様が出されています。前提: Cookie Name Prefixes について Cookieには『Cookie Name Prefixes』という仕様があります(もうそろそろRFCになります)。なお、すでにブラウザに実装されています。 Cookie名にプレフィックスをつけることで、特定の属性が付与されている事が保証されます。例えばCookie名に "__Secure-" をつけることで、secure属性が付与されている事が保証されます。javascriptや共有先のサイトにより勝手に属性値が外されることはありません。現在は次の２つのプレフィックスが定義されています __Secure- __Host- googleのサイトもすでに、これらがついたCookie
msakamoto-sf 2025/03/21
security

javascript

http

RFC

cookie
リンク
Windowsは内部的にどうやってインターネットへの接続状態を確認している？
システムトレイにある「クイック設定」には、ネットワークのインターネット接続状態を表示するアイコンがある。システムトレイにあるクイック設定は、フライアウト開かない状態では、ネットワークのインターネット接続状態を示す3種類のNCSIアイコンを表示するこのアイコンは「インターネット接続不可」「インターネット有線接続」「インターネット無線接続」のどれかを表示する。これを「ネットワーク接続状態インジケーター」（NCSI、Network Connectivity Status Indicator）という。この機能は、「ネットワークプローブ」を使って、Windowsのインターネット接続状態を調べ適切な表示・処理をする。アイコンの表示だけでなく、たとえば、公衆Wi-Fi／ホットスポットサービスなどにおいて、ログイン処理が必要なことを通知するのもNCSIの役割である。原理としては簡単で、Micros
msakamoto-sf 2025/03/16
windows

ネットワーク

DNS

http

network

Microsoft
リンク
Web における Beacon の変遷 (sendBeacon(), fetch() keepalive, fetchLater()) | blog.jxck.io
Intro ページを閉じる際に何かしらの情報をサーバで収集したいケースがある。これを Beacon の送信(Beaconing)と呼び、ブラウザではページ表示中に収集したパフォーマンス統計の収集や、広告タグによるトラッキングなどに用いられる。しかし、「ページが閉じる直前に、サーバにリクエストを送信する」を確実に実行するのは実は難しく、これを標準技術で実現する過程で、複数の API が生まれるに至った。各 API の策定経緯と、挙動の違いについて解説していく。 <img> での送信最もプリミティブな Beacon の送信は、<img> を用いたものだった。 window.addEventListener("unload", () => { const beaconImage = new Image(1, 1); beaconImage.src = "https://telemetry
msakamoto-sf 2025/02/25
http

web

api
リンク
新しい curl コマンドの使い方完全ガイド（2025年版） - Qiita
はじめに curl とは対話シェルやシェルスクリプトから HTTP 通信を行うのによく使われるコマンドです。あらゆる環境（100 種類の OS）で動作し、macOS や Windows には標準でインストールされています。商用サポートもあり、互換性は非常に重視され、何年経っても同じ書き方で動きます。非常に長く使われており（1998 年生まれの 27 歳1）、そして古い情報もたくさんあります。この記事ではそういった古い情報を、より簡単で新しい curl コマンドの使い方にアップデートします。最初に結論を書いておくと、もう -X POST -H "Content-Type: applicatoin/json" なんて書かなくていいですよ。（記事を読まない人のためのリンク）この記事を書くにあたって以下の記事を参考にしています。この記事が書かれたのは 2015 年、現在はそれから 10 年後
msakamoto-sf 2025/02/22
http

linux

network

qiita
リンク
Caido
Trusted by 6,000+ Hackers Every MonthSecurity professionals worldwide trust Caido for their daily security testing needs. Reinventing the Hacker's ToolkitWe're building tools that push security testing beyond what's been done before.
msakamoto-sf 2025/02/07
security

http

proxy
リンク
1 2 3 4 5 6 7 8 9 10 次のページ