UGA Boxxx

つぶやきの延長のつもりで、知ったこと思ったこと書いてます

Webセキュリティ

【セキュリティ】CVEとは

Log4jの脆弱性の件で、CVE-2021-44228 のCVEとは何か知らなかったので調べた こちらの記事が参考になった qiita.com CVE (Common Vulnerabilities and Exposures)は共通脆弱性識別子のことで、脆弱性情報を一意に管理するためのIDをリスト化したもの MITRE(…

【Webセキュリティ】Log4jの脆弱性

Log4jの脆弱性 CVE-2021-44228 のフローがわからなかったので調べた 調べたら具体的なやり方がわかったが、ここでは直接的なフローは書かないようにする www.cyberkendra.com 概要 Log4jのJNDI Lookup機能で外部からの入力で任意のJavaコードを実行できてし…

【Webセキュリティ】Google I/O 2021 で発表されたセキュリティの話

Google I/O 2021 で発表されたコンテンツから、日本のデベロッパーへ向けて特にお届けしたいテーマに焦点を当て紹介をするウェビナーを拝見した developersonair.withgoogle.com その中でセキュリティに関する話の個人的メモ Spectreからユーザーを守る Spec…

【Webセキュリティ】a:visitedによるユーザーの履歴への攻撃について

以前、色をアルファチャンネルで指定したくない理由を探したことがあり、その過程でa:visited のセキュリティ対策について触れた uga-box.hatenablog.com この対策について、過去の話だが具体的にどういう攻撃の可能性があったのか知る機会があったので自分…

【Webセキュリティ】FLoCとは

FLoC(Federated Learning of Cohorts)について調べた developers-jp.googleblog.com 上の記事の概要より FLoC は、プライバシーを保護しつつ、興味ベースで広告を選択するメカニズム ユーザーがウェブを動き回ると、ブラウザは FLoC アルゴリズムを使って…

【CSS】色をアルファチャンネルで指定したくない理由を探す

Webページ内の背景色などに、特定のカラーコードを用意するのではなく、カラーコードで指定した色を少し透過(アルファチャンネル)をつけて表現しているデザインをみることがあった 例えば、黒rgb(255, 255, 255)にアルファチャンネルを指定してグレーrgba(…

【Webセキュリティ】ChromeでSharedArrayBufferの制限強化

以前調べたSIte Isorationに関連して、Chrome 91でSharedArrayBufferなどのAPIの利用が制限強化されることを知った uga-box.hatenablog.com blog.chromium.org 利用するにはHTTPヘッダーに“COEP(Cross-Origin-Embedder-Policy)/COOP(Cross-Origin-Opener-…

【Web高速化】Privacy Preserving Prefetch Proxy

Privacy Preserving Prefetch Proxy(P4)と呼ばれる技術を知ったので概要だけ調べた github.com Privacy Preserving Prefetch Proxy(P4)は、Resource Hintsという事前にコンテンツをプリフェッチ/レンダリングしておくことでWeb高速化を図る手法における…

【Webセキュリティ】Site Isolation(サイト分離)

Site Isolation(サイト分離)というワードを聞いて調べたところ以前調べたSpectreとMeltdownが関係あることがわかった uga-box.hatenablog.com ウェブサイトでSpectre のようなサイドチャネル攻撃を使えば、ブラウザが開いている他のサイトのデータやログイ…

【Webセキュリティ】Content Security Policy

以前、クリックジャグリングを調べた時の対策としてContent Security Policyによる対策を知ったが、書き方が古くなっていたので再調査した uga-box.hatenablog.com 古い例 X-Content-Security-Policy: allow 'self'; frame-ancestors *.ipa.go.jp *.meti.go.…

【Webセキュリティ】X-Content-Type-Options

自分のサービスをWebPageTestにかけた結果、セキュリティで重要度は低いがNGがあった sniffingを防ぐためにレスポンスヘッダーに「X-Content-Type-Options: nosniff」を付与すべきというもの developer.mozilla.org IEではContent-Typeに従わずにコンテンツ…