はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
2024年7月9日にリリースされた「Firefox 128」に、個人に関する情報を収集せずに広告のパフォーマンスを向上する「プライバシー保護された広告解析をウェブサイトに許可する」という設定項目が追加されました。この機能に関し、データ保護に関する論争が巻き起こっています。 Privacy-Preserving Attribution | Firefox Help https://support.mozilla.org/en-US/kb/privacy-preserving-attribution "Privacy-Preserving" Attribution: Mozilla Disappoints Us Yet Again https://blog.privacyguides.org/2024/07/14/mozilla-disappoints-us-yet-again-2/ For
閉じている details 要素に `#fragment` でジャンプして、ジャンプと同時に展開したい - mizdra's blog
最近用語集のようなページを作る機会があった。それぞれの用語の名前と説明がバーっと並んでて、説明部分は <details> 要素で隠されている。用語の名前をクリックすると <details> が展開されて、説明部分が読める、といった感じ。 用語集ページの例 他のページから特定の用語の説明に飛べるように、用語を表す要素それぞれに id 属性が振ってある。例えば https://glossary.example.com/#javascript という URL でアクセスすると、「JavaScript」の用語がある位置にスクロールした状態で、用語集ページを開ける。 ただ (一部ブラウザで) https://glossary.example.com/#javascript でアクセスしても、JavaScript の説明の欄が閉じたままで困っていた。その用語の説明が見たいがためにしてきているので、最初
Amazonの製品レビューには、業者の依頼によって書かれたと思われるサクラレビューが大量に紛れ込んでいます。新たに、ウェブブラウザ「Firefox」などの開発で知られるMozillaが「サクラレビューが多い製品カテゴリ上位5選」と「信頼できるレビューが多い製品カテゴリ上位5選」を発表しました。 Fakespot reveals the product categories with the most and least reliable product reviews for summer and back-to-school shopping https://blog.mozilla.org/en/mozilla/news/fakespot-reveals-the-product-categories-with-the-most-and-least-reliable-product-re
CSSの疑似クラス「:has()」がモダンブラウザで使えるようになり、今までJavaScriptを使わないと実装できなかったようなものでも、CSSだけで実現できる幅が広がりました。 そんなCSSの「:has()」を使って、お問い合わせページなどでよく見かける、利用規約など個人情報の同意チェックボックスのチェックの有無で送信ボタンの活性(押せる状態)と非活性(押せない状態)を切り替える動作を、JavaScriptを使わずに実装する実験をしてみたので紹介してみます。 :has()を使ってCSSだけで同意チェックボタンを実装 まずは、JavaScriptを使わずにCSSの疑似要素「:has()」を使って、同意チェックボックスのチェック有無によって、ボタンの活性/非活性を切り替える動作サンプルです。 See the Pen CSS only Agree Check by BLACKFLAG (@B
MullvadVPNの評判・口コミは?料金や使い方について解説
藤田です。 Mullvad VPNっていうVPNが気になっているけど評判はどうなんだろう? 料金や使い方について知りたい こんなお悩みをお持ちではありませんか? 今回はMullvad VPNの評判について書いていきたいと思います。 公式サイトはこちらをクリック↓ https://mullvad.net/ja MullvadVPNの評判・口コミは? Mullvad VPNを解約してたんだけど、結局はまた使う機会が出来て戻ってしまった。Adguard VPNは繋がらないことが多くて、使ってない。 — PonPoko🏳️🌈 (@Barracuda_Dan) November 20, 2021 個人的には VPN サービスは Mullvad VPN が良いと思ってる.アカウント作成にメールアドレスすら要らず,長期契約による割引がなく常に一定の料金で,日本にもサーバーがあって,ビットコインから
JSer.info #700 - Vitest 2.0.0がリリースされました。 Release v2.0.0 · vitest-dev/vitest 非推奨のオプションを削除、一部オプションのデフォルト値の変更などの破壊的な変更が含まれています。 マイグレーションガイドも合わせて公開されています。 Migration Guide | Guide | Vitest Browser Mode改善、expect.pollの追加、test.forの追加などが行われています。 Browser Modeについては、次のページに詳しい説明が公開されています。 Vitest Browser Mode · vitest-dev/vitest · Discussion #5828 Node.js v22.5.0がリリースされました Node.js — Node v22.5.0 (Current) コアモジュ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
Firefoxが広告のためにユーザーデータを集める機能をデフォルトでオンに設定、解除方法はコレ
Amazonのサクラレビューが多いカテゴリ上位5選&信頼できるカテゴリ上位5選
:has()を使ってCSSだけで同意チェックボタンを実装する方法|BLACKFLAG
2024-07-18のJS: #700 - Vitest 2.0.0、Node.js 22.5.0(sqlite)、Private Browsing Mode