検索対象

並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 5 件 / 5件

新着順 人気順

HSTSの検索結果1 - 5 件 / 5件

  • SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

    こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ

      SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

    • ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night

      2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST

        ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night

      • Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog

        こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして

          Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog

        • HSTS(HTTP Strict Transport Security)についてまとめる - Qiita

          はじめに セキュリティの重要性が増してくる昨今、Webサイトにも様々なセキュリティ強化の規格が策定されています。 その中でも、対応サイトが増えているように感じるHSTS(HTTP Strict Transport Security)についてまとめました。 HSTS(HTTP Strict Transport Security)とは? HTTPレスポンスヘッダにHSTSに関する事項を記載することで、指定した有効期間内はブラウザ(ユーザエージェント)が同一ドメインにアクセスする際はTLSによる通信を強制する仕組みです。 つまり、HTTPでアクセスしようとしても、ブラウザが「このドメインはHTTPSでアクセスするドメインだ!」と覚えていてくれて、HTTPSでリクエストを送ってくれるということですね。 HSTS(HTTP Strict Transport Security)はRFC6797で規定さ

            HSTS(HTTP Strict Transport Security)についてまとめる - Qiita

          • サイバー攻撃からWebサイトとユーザーを守る「HSTS」とは

            Sucuriはこのほど、「What is HSTS: HTTP Strict Transport Security」において、攻撃者がWebサイトとその利用者との間のトラフィックを改竄または傍受することを困難にするポリシーである「HTTP Strict Transport Security(HSTS)」について解説した。このポリシーを理解することは、Webサイトおよびその利用者を脅威から保護するのに役立つという。 What is HSTS: HTTP Strict Transport Security HTTP Strict Transport Security(HSTS)とは、ブラウザにHTTPS経由でのみ接続するよう指示するWebサーバディレクティブの一つ。このポリシは2012年に「RFC 6797 - HTTP Strict Transport Security (HSTS)」で標準

              サイバー攻撃からWebサイトとユーザーを守る「HSTS」とは
            1

            はてなブックマーク

            公式Twitter

            はてなのサービス

            • App Storeからダウンロード
            • Google Playで手に入れよう
            Copyright © 2005-2024 Hatena. All Rights Reserved.