次世代プラットフォームのセキュリティモデル考察セキュリティ・キャンプ全国大会2016の講義資料です。 講義の前編は、はせがわようすけさんの資料をご覧ください。 http://www.slideshare.net/hasegawayosuke/ss-64924759
Webアプリ開発者のためのHTML5セキュリティ入門
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
これなら合格! 正しいリダイレクターの作り方
これなら合格! 正しいリダイレクターの作り方:HTML5時代の「新しいセキュリティ・エチケット」(4)(1/3 ページ) えっ、まだmeta refreshとか301使ってるの? リダイレクターの作り方も時代とともに移り変わります。記事を読んだらすぐに使えるセキュリティ・エチケットを紹介しましょう。 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回は、「オープンリダイレクター」という脆弱性について説明します。 オープンリダイレクターとは? オープンリダイレクターとは、あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって任意の外部ページへのリダイレクターとして利用可能になっている問題です。 「http://example.jp」上で提供されるWebアプリケーションにて、例えば「http://example.jp/go?url=/nex
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法:HTML5時代の「新しいセキュリティ・エチケット」(3)(1/2 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest(以下、XHR)は、表示しているドキュメントと同じオリジン(オリジンについては第1回を参照)としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav
単純ではない、最新「クロスサイトスクリプティング」事情
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
HTML5関連のセキュリティ情報 - 葉っぱ日記
HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの?」みたいなリクエストもあればぜひ言って下さいませ。 JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013) HTML5セキュリティ その1:基礎編、XSS編 (2013-06-13 OWASP Night 6th) Web::Security beyond HTML5 (2012-09-28 YAPC::Asia 2012) HTML5時代のWebセキュリティ (2012-09-15 第5回愛媛情報セキュリティ勉強会) Same-Origin Policy とは何なのか。 - 葉っぱ日記 XMLHttpRequestを使ったCSRF対
[デブサミ関西2013] JavaScript Security beyond HTML5
[デブサミ関西2013] JavaScript Security beyond HTML5 Presentation Transcript JavaScript Security beyond HTML5 ネットエージェント株式会社 長谷川陽介 Developers Summit 2013 Kansai Action! #kansumiB5 NetAgent http://www.netagent.co.jp/Developers Summit 2013 Kansai Action! #kansumiB5 自己紹介 長谷川陽介 - はせがわようすけ ネットエージェント株式会社 株式会社セキュアスカイ・テクノロジー 技術顧問 セキュリティ・キャンプ Webセキュリティクラス講師 Microsoft MVP for Consumer Security Oct 2005 -
IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、
あなたのWebサービスは狙われている!最低限押さえておきたいセキュリティ対策 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
最近上京してきたんだけど、入谷から会社までくるのに徒歩10分の道のりで迷子になっちゃって、なんか知らない間に浅草の方まで行っちゃって、会社に遅刻しちゃって、東京ってマジ迷路だよね。あ、どうも、僕です。 今日はWebサービスを開発する上で最低限おさえておきたいセキュリティ対策について書こうと思うよ! セキュリティホールって、 案外簡単な見逃しでできちゃうんだよね。 バリバリのハッカーしかハッキングなんてしないから、 うちのサイトは安全だなんて思ってたら大間違いだよ! 今回は、その攻撃方法と、 それを防ぐための対策方法をセットにして書こうと思うよ! 最低限、これだけは守っとかないと、 あなたのWebサービス、攻撃されちゃうよ! ちなみに、言語はPHPを例とするよ! ほかの言語にも当てはまるから、 攻撃方法と対策をセットで頭に入れておくこと! クロスサイトスクリプティング (XSS) よくきくよ
GoogleとMicrosoftら、HTML5対応のコンテンツ暗号化APIの標準化を申請
米Google、米Microsoft、米Netflixの3社は2月21日(現地時間)、Web標準化団体のWorld Wide Web Consortium(W3C)に対し、暗号化された動画や音楽のHTML5での再生を可能にするためのAPIの標準化を求めるドラフトプロポーザルを行った。 HTML5では、FlashやSilverlightなどのプラグインを使わずに動画や音声を再生できる(Webブラウザによる対応が前提)が、そうしたプラグインと異なり、デジタル著作権管理(DRM)の方法は定められていない。そのため、DRMで保護されたコンテンツを提供するには、Webブラウザや端末別に対応させる必要がある。これは、コンテンツ提供側にとっては大きな負担になっている。 Googleらが提案するシステムでは、APIをWebブラウザに追加することで、HTMLのmediaエレメントに変更を加えることなく、あら
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
次世代プラットフォームのセキュリティモデル考察(前編)
これからHTML5を書く人のためのセキュリティ - HTML5など勉強会