タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ
ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST
参考 6.4.7. 307 Temporary Redirect | RFC 7231 – HTTP/1.1: Semantics and Content2. HSTS の問題点このHSTS、以下のようなことが起きるとかなり面倒です。 ある期間、example.com というドメインのウェブサイトを運営しているウェブサーバーが Strict-Transport-Security というレスポンスヘッダを返すよう設定されていました。その期間中にそのウェブサーバーにアクセスしたブラウザは、ブラウザ内の「HSTS適用ドメイン」に example.com を追加します。しばらくして、このウェブサイトにおいて「 https でアクセスされると何らかの問題が起きる」ことが発覚したとします。サイト運営者は http でもアクセスできるように、example.com のウェブサーバーが、Strict-Tr
はじめに Webサイトがどのように表示されるのかを知るために『What happens when...』を読みました。 しかし、HSTSが何なのか理解できず、かなり最初の方でつまづいてしまったので、今回の記事では自分が調べたことをまとめたいと思います。 「HSTSをチェックする」 以下が『What happens when...』で書かれていた説明です。 ブラウザは"preloaded HSTS(HTTP Strict Transport Security)"リストを調べます。これはHTTPSでのみリクエストを送るように求めているウェブサイトの一覧です。 もしそのウェブサイトがリストにあれば、ブラウザはHTTPではなくHTTPSでリクエストを送ります。なければ最初のリクエストはHTTPで送られます。ウェブサイトは、HSTS一覧になくてもHSTSポリシーを利用可能であることに注意してください
週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか|TechRacho by BPS株式会社
2020.02.17 週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか こんにちは、hachi8833です。皆さま息災でいらっしゃいますか。 元記事: 新型コロナウィルス、海外からのVIPが来日中止などIT業界でも影響が出始め。バルセロナのMWCも中止に(記事更新) - Publickey(Publickeyより) つっつきボイス:「たしかに相当影響でかそう😰」「いろんなものが届かなくなったりしそう🏷」「人が大勢集まるイベントも影響受けそうですし🥺」 RubyKaigiまでに落ち着いてくれるといいのですが。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋の
[レベル: 上級] Google Chrome が HTTPS をデフォルトのプロトコルとしてウェブページに接続するようになるかもしれません。 現在は HTTP がデフォルト プロトコル https または http のプロトコルを付けずに URL をオムニボックス(Chrome の URL バー)に打ち込んでアクセスした場合、現在は http:// を自動的に付加してそのページに Chrome はアクセスします。 たとえば、[example.com] とだけ入力してアクセスすると [http://example.com/] の URL に置き換えて Chrome はリクエストを送信します。 もしサイトが HTTPS 対応していてかつリダイレクト設定していれば [https://example.com/] にリダイレクトされて、再度接続し直します(※HSTS を設定していない場合、詳しくは
HSTSプリロードリストについて調べてみた
HSTSプリロードリスト ついて調べてみた 0. 簡単まとめ HSTS (Http Strict Transport Security) あるサイトにおいてHTTPSで通信することを強制する仕組み http://example.com/ へアクセスしようとした時にブラウザが自動で https://example.com にアクセスする WEBサイトにアクセスした時に、サーバーがレスポンスで「次回以降HTTPSでアクセスしてね」と通知をすることで、ブラウザが常にHTTPSでアクセスするようになる HTTPS通信を強制できるため中間者攻撃の盗聴、改ざんなどへの有効な対策になる 初回はHTTPでアクセスする可能性があるためリスクが残る HSTSプリロードリスト HSTSに対応したサイト(https通信を要求するサイト)のリスト 事前にブラウザがHSTSプリロードリストに登録されているか確認するこ
How the BBC is rolling out HSTS for better security and performance. Stay organized with collections Save and categorize content based on your preferences. The BBC is rolling out HSTS for their website to improve security and performance. Find out what it means, and how HSTS can help you. HTTPS adoption has been steadily increasing in recent years. Per the HTTP Archive's 2021 Web Almanac, around 9
Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた|TechRacho by BPS株式会社
2020.06.12 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた こんにちは、hachi8833です。RailsのHSTS周りでハマったので、自分のためにメモします。 Rails 5.0以降ではforce_sslでHSTSも有効になる Rails 5.0以降では、アプリケーション設定でconfig.force_ssl = trueを指定すると、HSTS設定「も」同時に有効になります。 参考: Rails 5 adds more control to fine tuning SSL usage | BigBinary Blog 参考: HTTP Strict Transport Security - Wikipedia HTTP Strict Transport Security (エイチティーティーピー・ストリ
以下の記事の続きです。 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた 参考: Rails API ActionDispatch::SSL ⚓Rails 5と6のHSTS設定方法 Rails 5以降では、config/environments/production.rbで以下の設定をコメント解除すると、production環境で強制的にHTTPS通信を試みるようになり、同時にHSTS「も」有効になります。 config.force_ssl = true ドキュメント: Rails アプリケーションを設定する - Railsガイド production環境のRailsサーバーでHSTS(HTTP Strict Transport Security)が有効になると、サーバーからのHTTPレスポンスに以下のようなStri
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
月例パッチを適用した「IE 11」「Edge」が一部サイトへ接続不能に ~修正パッチが配布/“gov.uk”など“HSTS”が未サポートのサイトで
HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする
![[速報]IBMによるHashiCorpの買収が正式発表、マルチクラウドの自動化を加速させると](https://cdn-ak-scissors.b.st-hatena.com/image/square/cbe11a1df0f48d85fc57a0d3e3483f8d15a97930/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2024%2FGL9NsgLXcAARWpD.jpg)
HTTP Strict Transport Security(HSTS)とは?
ChromeでHTTPS接続がデフォルトになるかも、HSTSはもう不要?
How the BBC is rolling out HSTS for better security and performance. | Articles | web.dev
Rails 5と6のHSTS設定方法|TechRacho by BPS株式会社
w.atwiki.jp
meno-kitchen.hatenablog.jp
webdesignernaritai.hatenablog.jp
nisisinjuku.hatenablog.com
onsen.nifty.com
docs.aws.amazon.com