Webセキュリティ
Webセキュリティを強化するためのHTTPヘッダーについて調べた referrer policy httpヘッダーでリファラー情報をリクエストにどれだけ含めるかを制御する Referrer-Policy - HTTP | MDN サイトによってはリファラによって流入元の情報が必要以上に遷移先に知…
2022年11月1日に重要度「High」のOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)についての情報が公開されたことについて調べた www.openssl.org 概要 X.509電子証明書に含まれるメアドのデコード処理において、バッファオーバーフローが発生する脆弱性 …
Log4jの脆弱性の件で、CVE-2021-44228 のCVEとは何か知らなかったので調べた こちらの記事が参考になった qiita.com CVE (Common Vulnerabilities and Exposures)は共通脆弱性識別子のことで、脆弱性情報を一意に管理するためのIDをリスト化したもの MITRE(…
Log4jの脆弱性 CVE-2021-44228 のフローがわからなかったので調べた 調べたら具体的なやり方がわかったが、ここでは直接的なフローは書かないようにする www.cyberkendra.com 概要 Log4jのJNDI Lookup機能で外部からの入力で任意のJavaコードを実行できてし…
Google I/O 2021 で発表されたコンテンツから、日本のデベロッパーへ向けて特にお届けしたいテーマに焦点を当て紹介をするウェビナーを拝見した developersonair.withgoogle.com その中でセキュリティに関する話の個人的メモ Spectreからユーザーを守る Spec…
以前、色をアルファチャンネルで指定したくない理由を探したことがあり、その過程でa:visited のセキュリティ対策について触れた uga-box.hatenablog.com この対策について、過去の話だが具体的にどういう攻撃の可能性があったのか知る機会があったので自分…
FLoC(Federated Learning of Cohorts)について調べた developers-jp.googleblog.com 上の記事の概要より FLoC は、プライバシーを保護しつつ、興味ベースで広告を選択するメカニズム ユーザーがウェブを動き回ると、ブラウザは FLoC アルゴリズムを使って…
Webページ内の背景色などに、特定のカラーコードを用意するのではなく、カラーコードで指定した色を少し透過(アルファチャンネル)をつけて表現しているデザインをみることがあった 例えば、黒rgb(255, 255, 255)にアルファチャンネルを指定してグレーrgba(…
以前調べたSIte Isorationに関連して、Chrome 91でSharedArrayBufferなどのAPIの利用が制限強化されることを知った uga-box.hatenablog.com blog.chromium.org 利用するにはHTTPヘッダーに“COEP(Cross-Origin-Embedder-Policy)/COOP(Cross-Origin-Opener-…
Privacy Preserving Prefetch Proxy(P4)と呼ばれる技術を知ったので概要だけ調べた github.com Privacy Preserving Prefetch Proxy(P4)は、Resource Hintsという事前にコンテンツをプリフェッチ/レンダリングしておくことでWeb高速化を図る手法における…
Site Isolation(サイト分離)というワードを聞いて調べたところ以前調べたSpectreとMeltdownが関係あることがわかった uga-box.hatenablog.com ウェブサイトでSpectre のようなサイドチャネル攻撃を使えば、ブラウザが開いている他のサイトのデータやログイ…
以前、クリックジャグリングを調べた時の対策としてContent Security Policyによる対策を知ったが、書き方が古くなっていたので再調査した uga-box.hatenablog.com 古い例 X-Content-Security-Policy: allow 'self'; frame-ancestors *.ipa.go.jp *.meti.go.…
自分のサービスをWebPageTestにかけた結果、セキュリティで重要度は低いがNGがあった sniffingを防ぐためにレスポンスヘッダーに「X-Content-Type-Options: nosniff」を付与すべきというもの developer.mozilla.org IEではContent-Typeに従わずにコンテンツ…