UGA Boxxx

つぶやきの延長のつもりで、知ったこと思ったこと書いてます

トップ > Webセキュリティ

Webセキュリティ

【Web セキュリティ】セキュリティを強化するHTTPヘッダーたち

Webセキュリティ

Webセキュリティを強化するためのHTTPヘッダーについて調べた referrer policy httpヘッダーでリファラー情報をリクエストにどれだけ含めるかを制御する Referrer-Policy - HTTP | MDN サイトによってはリファラによって流入元の情報が必要以上に遷移先に知…

【Webセキュリティ】OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)

Webセキュリティ

2022年11月1日に重要度「High」のOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)についての情報が公開されたことについて調べた www.openssl.org 概要 X.509電子証明書に含まれるメアドのデコード処理において、バッファオーバーフローが発生する脆弱性 …

【セキュリティ】CVEとは

CVE NVD CVSS Webセキュリティ

Log4jの脆弱性の件で、CVE-2021-44228 のCVEとは何か知らなかったので調べた こちらの記事が参考になった qiita.com CVE (Common Vulnerabilities and Exposures)は共通脆弱性識別子のことで、脆弱性情報を一意に管理するためのIDをリスト化したもの MITRE(…

【Webセキュリティ】Log4jの脆弱性

Webセキュリティ

Log4jの脆弱性 CVE-2021-44228 のフローがわからなかったので調べた 調べたら具体的なやり方がわかったが、ここでは直接的なフローは書かないようにする www.cyberkendra.com 概要 Log4jのJNDI Lookup機能で外部からの入力で任意のJavaコードを実行できてし…

【Webセキュリティ】Google I/O 2021 で発表されたセキュリティの話

Webセキュリティ

Google I/O 2021 で発表されたコンテンツから、日本のデベロッパーへ向けて特にお届けしたいテーマに焦点を当て紹介をするウェビナーを拝見した developersonair.withgoogle.com その中でセキュリティに関する話の個人的メモ Spectreからユーザーを守る Spec…

【Webセキュリティ】a:visitedによるユーザーの履歴への攻撃について

Webセキュリティ CSS

以前、色をアルファチャンネルで指定したくない理由を探したことがあり、その過程でa:visited のセキュリティ対策について触れた uga-box.hatenablog.com この対策について、過去の話だが具体的にどういう攻撃の可能性があったのか知る機会があったので自分…

【Webセキュリティ】FLoCとは

Webセキュリティ

FLoC(Federated Learning of Cohorts)について調べた developers-jp.googleblog.com 上の記事の概要より FLoC は、プライバシーを保護しつつ、興味ベースで広告を選択するメカニズム ユーザーがウェブを動き回ると、ブラウザは FLoC アルゴリズムを使って…

【CSS】色をアルファチャンネルで指定したくない理由を探す

Webセキュリティ CSS

Webページ内の背景色などに、特定のカラーコードを用意するのではなく、カラーコードで指定した色を少し透過(アルファチャンネル)をつけて表現しているデザインをみることがあった 例えば、黒rgb(255, 255, 255)にアルファチャンネルを指定してグレーrgba(…

【Webセキュリティ】ChromeでSharedArrayBufferの制限強化

Webセキュリティ Chrome

以前調べたSIte Isorationに関連して、Chrome 91でSharedArrayBufferなどのAPIの利用が制限強化されることを知った uga-box.hatenablog.com blog.chromium.org 利用するにはHTTPヘッダーに“COEP(Cross-Origin-Embedder-Policy)/COOP(Cross-Origin-Opener-…

【Web高速化】Privacy Preserving Prefetch Proxy

Web高速化 Webセキュリティ

Privacy Preserving Prefetch Proxy(P4)と呼ばれる技術を知ったので概要だけ調べた github.com Privacy Preserving Prefetch Proxy(P4)は、Resource Hintsという事前にコンテンツをプリフェッチ/レンダリングしておくことでWeb高速化を図る手法における…

【Webセキュリティ】Site Isolation(サイト分離)

Webセキュリティ Site Isolation

Site Isolation(サイト分離)というワードを聞いて調べたところ以前調べたSpectreとMeltdownが関係あることがわかった uga-box.hatenablog.com ウェブサイトでSpectre のようなサイドチャネル攻撃を使えば、ブラウザが開いている他のサイトのデータやログイ…

【Webセキュリティ】Content Security Policy

Webセキュリティ

以前、クリックジャグリングを調べた時の対策としてContent Security Policyによる対策を知ったが、書き方が古くなっていたので再調査した uga-box.hatenablog.com 古い例 X-Content-Security-Policy: allow 'self'; frame-ancestors *.ipa.go.jp *.meti.go.…

【Webセキュリティ】X-Content-Type-Options

Webセキュリティ

自分のサービスをWebPageTestにかけた結果、セキュリティで重要度は低いがNGがあった sniffingを防ぐためにレスポンスヘッダーに「X-Content-Type-Options: nosniff」を付与すべきというもの developer.mozilla.org IEではContent-Typeに従わずにコンテンツ…