GitHub - publicsuffix/list: The Public Suffix List
A "public suffix" is one under which Internet users can (or historically could) directly register names. Some examples of public suffixes are .com, .co.uk and pvt.k12.ma.us. The Public Suffix List is a list of all known public suffixes. See https://publicsuffix.org/ and the Wiki link above for more information. Are you here to add or update something? All submissions must conform to the validation
ホスト名の最後が数字なURLの扱いについて - ASnoKaze blog
「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。 github.com 例えば次のようなものです foo.0 bar.0.09 1.2.3.4.5 今まで、これらのホスト名は、その他のドメインと同じように、通常通り名前解決されます。Issueの起案者は、すでに具体的な攻撃があるわけではないとしつつも、紛らわしさや、eTLD+1 (same-site)の扱いの問題があるとのことです。 なお、次のようなものはIPv4アドレスにマッピングされアクセスできます。 http://127.1 http://1.65793 Deprecate support for URLs with non-IPv4 hostnames ending in numbers 実際に、Chromeでは、そのような変更を入れる検討が始まっていま
Microsoft Store ポリシー改訂、Chrome や Firefox の公開が可能に | スラド デベロッパー
7 月 28 日に発効する Microsoft Store ポリシー バージョン 7.14 では、Chrome や Firefox などのブラウザーを Microsoft Store で公開可能にする変更が含まれている(Microsoft Store ポリシー最新版、 変更履歴)。 これまでのポリシーは 10.2.1 で「Web を閲覧する製品では、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります」となっており、Chrome や Firefox をそのまま UWP 化しても公開できなかった。 今回の改訂では Web エンジンに関する指定が「Web を参照する製品では、Chromium または Gecko オープン ソース エンジンのいずれかが使用されている必要があります 」に変更された。これらオープンソー
GitHub - mikewest/coop-by-default: Wouldn't it be nice if `Cross-Origin-Opener-Policy` was applied by default?
When a web application opens another origin in a window, it obtains a JavaScript reference to that context that it can reach through to poke at various things. The opened context likewise receives a reference to its opener which provides similar access. This communication channel between the two windows enables attacks both at the web API level (postMessage vulnerabilities, navigation trickery, an
Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する
紙書籍をお届けします(PDFがついてきます) PDFのみ必要な場合は、こちらからPDF単体をご購入ください 紙書籍は通常、ご注文から2~3営業日で発送します 年末年始や大型連休など、1週間から10日程度、配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください ブラウザの視点で学ぶセキュリティ 米内貴志 著 224ページ A5判 ISBN:978-4-908686-10-8 2021年1月5日 第1版第1刷 2022年8月16日 第1版第3刷 発行 正誤情報 サンプルコードなど 現代のWebブラウザには、ユーザーがWebというプラットフォームを安全に利用できるように、さまざまなセキュリティ機構が組み込まれています。 リソース間に境界を設定し、アプリケーションに制限を課す機構(Origin、SOP、CORS、CSPなど) Webブラウザの動作をOSのプロセスレベルで考察することで
Phishing with Unicode Domains - Xudong Zheng
Posted by Xudong Zheng on April 14, 2017 The site above is not the real Apple domain but rather a domain that I was able to purchase. You can see for yourself by visiting the proof-of-concept. The security issue has been fixed as of Chrome 59 though it still exists in all versions of Firefox. Punycode makes it possible to register domains with foreign characters. It works by converting individual
投機的なWebの修復
先日Mozaic.fmでCross Origin Info Leaksについて話しました。 ep63 Cross Origin Info Leaks 雑談編(こちらはプラバシーや新しいEdgeなどセキュリティとは関係ない雑談です) ここではMozaicで話した事をまとめてみたいと思います。 スペクターとはなんだったのか 何が直ったのか 何故ブラウザの問題は残っているのか ブラウザはどの様な対策をとったのか ブラウザの対策は十分だったのか Site Isolationとは Cross-Origin Read Blockingとは Cross-Origin Resource Policyとは Cross-Origin Embedder Policyとは Cross-Origin Opener Policyとは Securer Contextとは スペクターとはなんだったのか スペクターはCPU
ep63 Cross Origin Info Leaks | mozaic.fm
Theme 第 63 回のテーマは Cross Origin Info Leaks です。 今回は @shhnjk さんをお迎えし、 Spectre で発覚した Side Channel Attack と、対策として出てきた Site Isolation や増えてきた Cross-Origin-* 系のヘッダ群。 今の Web はどういう脅威と戦い、これらの仕様や実装は何を目的として提案されたのか。 Origin を守るための Web の戦いと、そこから見える Web や Browser のアーキテクチャの今後について議論します。 Show Note Spectre https://spectreattack.com/ A year with Spectre: a V8 perspective · V8 https://v8.dev/blog/spectre What Spectre an
Side-Channels on the Web: Attacks and Defenses
In this presentation we explore various side-channel attacks in the Web that can be used to leak information on cross-origin responses. These so-called XS-Leaks issues may allow an adversary to extract sensitive information from an unwitting visitor, ranging from personal information this victim shared with social media networks to CSRF tokens, which may lead to full account takeover. Finally, we
A year with Spectre: a V8 perspective · V8
Show navigation On January 3, 2018, Google Project Zero and others disclosed the first three of a new class of vulnerabilities that affect CPUs that perform speculative execution, dubbed Spectre and Meltdown. Using the speculative execution mechanisms of CPUs, an attacker could temporarily bypass both implicit and explicit safety checks in code that prevent programs from reading unauthorized data
Chromium Docs - Post-Spectre Threat Model Re-Think
Contributors: awhalley, creis, dcheng, jschuh, jyasskin, lukasza, mkwst, nasko, palmer, tsepez. Patches and corrections welcome! Last Updated: 27 April 2021 IntroductionIn light of Spectre/Meltdown, we needed to re-think our threat model and defenses for Chrome renderer processes. Spectre is a new class of hardware side-channel attack that affects (among many other targets) web browsers. This docu
ブラウザにパスワードを保存するのはアリなのか? | Bizコンパス -ITによるビジネス課題解決事例満載!
今知っておきたいITセキュリティスキルワンランクアップ講座第7回 ブラウザにパスワードを保存するのはアリなのか? 著者 北河 拓士 セキュリティ強化・リスク管理 セキュリティ対策 セキュリティ強化 IoTセキュリティ Webサイトへのログインのためにパスワードを入力した時に、「パスワードを保存しますか?」などのメッセージが出ることを経験したことがあると思います。この機能は「オートコンプリート」などとも呼ばれ、一度ブラウザにパスワードを記憶させれば次回からログインする時にキーボードから打ち込まなくても自動的にブラウザが入力してくれるもので、IE/Edge、Chrome、Firefoxなどの各ブラウザでは既定で有効になっています。 Edgeでのパスワード保存の例 この機能は非常に便利ですが、その反面、セキュリティ上の問題があるとする意見もあります。例えば、内閣サイバーセキュリティセンター(NI
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Emerging Tech: Security — The Future of Enterprise Browsers
same-site/cross-site, same-origin/cross-originをちゃんと理解する
ブラウザ/セキュリティ/プライバシー周りの一次情報に近い二次情報の情報源をまとめたもの
The Cookie Monster in Your Browsers
Site Isolationの話
Overcoming (some) Spectre browser mitigations
Reducing the precision of the DOMHighResTimeStamp resolution · Issue #56 · w3c/hr-time
GitHub - mikewest/purification
