並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 12 件 / 12件

新着順 人気順

hstsの検索結果1 - 12 件 / 12件

  • SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

    こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れつつ、最終的にHSTS(HTTP Strict Transport Security)のような注意点を含めて振り返るのに役立てていただければと思います。 前提条件 Cookieについて Cookieの属性について SameSite属性について SameSite属性に関する落とし穴 SameSite属性を指定しなかった場合の挙動 SameSite: Strictでも攻撃が成功するケース 例1: スキームだけ違うケース 例2: サブドメイ

      SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog
    • ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night

      2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動(Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導) HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導(Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導) 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト(HSTSヘッダ指定、Preloadリストのサイト) HST

        ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night
      • Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog

        こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介していきます。 CookieのSecure属性自体は前回紹介したSameSite属性と比較してわかりやすいのもあり、かなり知名度が高いと思われますが、Secure属性単体で守れる範囲というのは実は限定的である、という点を本記事では実験も交えて示していきます。 なお、本記事はセキュリティ以外の分野を主業務とするソフトウェアエンジニアを主な想定読者として書いています。 記事内の検証につかったブラウザのバージョン Cookieについて 中間者攻撃の仕組み 実際に中間者攻撃をして

          Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう - Flatt Security Blog
        • HTTP Strict Transport Security(HSTS)とは?

          はじめに Webサイトがどのように表示されるのかを知るために『What happens when...』を読みました。 しかし、HSTSが何なのか理解できず、かなり最初の方でつまづいてしまったので、今回の記事では自分が調べたことをまとめたいと思います。 「HSTSをチェックする」 以下が『What happens when...』で書かれていた説明です。 ブラウザは"preloaded HSTS(HTTP Strict Transport Security)"リストを調べます。これはHTTPSでのみリクエストを送るように求めているウェブサイトの一覧です。 もしそのウェブサイトがリストにあれば、ブラウザはHTTPではなくHTTPSでリクエストを送ります。なければ最初のリクエストはHTTPで送られます。ウェブサイトは、HSTS一覧になくてもHSTSポリシーを利用可能であることに注意してください

            HTTP Strict Transport Security(HSTS)とは?
          • HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする

            参考 6.4.7. 307 Temporary Redirect | RFC 7231 – HTTP/1.1: Semantics and Content2. HSTS の問題点このHSTS、以下のようなことが起きるとかなり面倒です。 ある期間、example.com というドメインのウェブサイトを運営しているウェブサーバーが Strict-Transport-Security というレスポンスヘッダを返すよう設定されていました。その期間中にそのウェブサーバーにアクセスしたブラウザは、ブラウザ内の「HSTS適用ドメイン」に example.com を追加します。しばらくして、このウェブサイトにおいて「 https でアクセスされると何らかの問題が起きる」ことが発覚したとします。サイト運営者は http でもアクセスできるように、example.com のウェブサーバーが、Strict-Tr

              HSTS が原因で、ウェブサイトが勝手にhttps接続しないようにする
            • 週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか|TechRacho by BPS株式会社

              2020.02.17 週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか こんにちは、hachi8833です。皆さま息災でいらっしゃいますか。 元記事: 新型コロナウィルス、海外からのVIPが来日中止などIT業界でも影響が出始め。バルセロナのMWCも中止に(記事更新) - Publickey(Publickeyより) つっつきボイス:「たしかに相当影響でかそう😰」「いろんなものが届かなくなったりしそう🏷」「人が大勢集まるイベントも影響受けそうですし🥺」 RubyKaigiまでに落ち着いてくれるといいのですが。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋の

                週刊Railsウォッチ(20200217前編)Railsのオプション引数退治、HSTSのデフォルトmax-ageが1年から2年に変更、semantic_logger gemほか|TechRacho by BPS株式会社
              • Rails 5と6のHSTS設定方法|TechRacho by BPS株式会社

                以下の記事の続きです。 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた 参考: Rails API ActionDispatch::SSL ⚓Rails 5と6のHSTS設定方法 Rails 5以降では、config/environments/production.rbで以下の設定をコメント解除すると、production環境で強制的にHTTPS通信を試みるようになり、同時にHSTS「も」有効になります。 config.force_ssl = true ドキュメント: Rails アプリケーションを設定する - Railsガイド production環境のRailsサーバーでHSTS(HTTP Strict Transport Security)が有効になると、サーバーからのHTTPレスポンスに以下のようなStri

                  Rails 5と6のHSTS設定方法|TechRacho by BPS株式会社
                • Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた|TechRacho by BPS株式会社

                  2020.06.12 Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた こんにちは、hachi8833です。RailsのHSTS周りでハマったので、自分のためにメモします。 Rails 5.0以降ではforce_sslでHSTSも有効になる Rails 5.0以降では、アプリケーション設定でconfig.force_ssl = trueを指定すると、HSTS設定「も」同時に有効になります。 参考: Rails 5 adds more control to fine tuning SSL usage | BigBinary Blog 参考: HTTP Strict Transport Security - Wikipedia HTTP Strict Transport Security (エイチティーティーピー・ストリ

                    Rails: config.force_ssl = true によるHSTSの動作をローカル環境とChromeで試してみた|TechRacho by BPS株式会社
                  • ChromeでHTTPS接続がデフォルトになるかも、HSTSはもう不要?

                    [レベル: 上級] Google Chrome が HTTPS をデフォルトのプロトコルとしてウェブページに接続するようになるかもしれません。 現在は HTTP がデフォルト プロトコル https または http のプロトコルを付けずに URL をオムニボックス(Chrome の URL バー)に打ち込んでアクセスした場合、現在は http:// を自動的に付加してそのページに Chrome はアクセスします。 たとえば、[example.com] とだけ入力してアクセスすると [http://example.com/] の URL に置き換えて Chrome はリクエストを送信します。 もしサイトが HTTPS 対応していてかつリダイレクト設定していれば [https://example.com/] にリダイレクトされて、再度接続し直します(※HSTS を設定していない場合、詳しくは

                      ChromeでHTTPS接続がデフォルトになるかも、HSTSはもう不要?
                    • How the BBC is rolling out HSTS for better security and performance.  |  Articles  |  web.dev

                      How the BBC is rolling out HSTS for better security and performance. Stay organized with collections Save and categorize content based on your preferences. The BBC is rolling out HSTS for their website to improve security and performance. Find out what it means, and how HSTS can help you. HTTPS adoption has been steadily increasing in recent years. Per the HTTP Archive's 2021 Web Almanac, around 9

                        How the BBC is rolling out HSTS for better security and performance.  |  Articles  |  web.dev
                      • HSTSプリロードリストについて調べてみた

                        HSTSプリロードリスト ついて調べてみた 0. 簡単まとめ HSTS (Http Strict Transport Security) あるサイトにおいてHTTPSで通信することを強制する仕組み http://example.com/ へアクセスしようとした時にブラウザが自動で https://example.com にアクセスする WEBサイトにアクセスした時に、サーバーがレスポンスで「次回以降HTTPSでアクセスしてね」と通知をすることで、ブラウザが常にHTTPSでアクセスするようになる HTTPS通信を強制できるため中間者攻撃の盗聴、改ざんなどへの有効な対策になる 初回はHTTPでアクセスする可能性があるためリスクが残る HSTSプリロードリスト HSTSに対応したサイト(https通信を要求するサイト)のリスト 事前にブラウザがHSTSプリロードリストに登録されているか確認するこ

                          HSTSプリロードリストについて調べてみた
                        • HSTS(HTTP Strict Transport Security)についてまとめる - Qiita

                          はじめに セキュリティの重要性が増してくる昨今、Webサイトにも様々なセキュリティ強化の規格が策定されています。 その中でも、対応サイトが増えているように感じるHSTS(HTTP Strict Transport Security)についてまとめました。 HSTS(HTTP Strict Transport Security)とは? HTTPレスポンスヘッダにHSTSに関する事項を記載することで、指定した有効期間内はブラウザ(ユーザエージェント)が同一ドメインにアクセスする際はTLSによる通信を強制する仕組みです。 つまり、HTTPでアクセスしようとしても、ブラウザが「このドメインはHTTPSでアクセスするドメインだ!」と覚えていてくれて、HTTPSでリクエストを送ってくれるということですね。 HSTS(HTTP Strict Transport Security)はRFC6797で規定さ

                            HSTS(HTTP Strict Transport Security)についてまとめる - Qiita
                          1