Spectre後のWebセキュリティ
Spectre後のWebセキュリティ
2021年3月29日 https://developers-jp.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html
Spectre 後のウェブ開発とサイドチャネル攻撃への対策を公開しました。このガイドに従って以下の保護をすることを強くお勧めします。
Cross-Origin Resource Policy(CORP)と Fetch メタデータ リクエスト ヘッダーを使う
イメージやスクリプトなどのリソースを埋め込むことができるサイトを制御して、攻撃者が制御するブラウザのレンダリング プロセスにデータが渡るのを防げます。
詳しくは、resourcepolicy.fyi と web.dev/fetch-metadata をご覧ください。
Cross-Origin Opener Policy(COOP)を使うと
アプリケーション ウィンドウで他のウェブサイトからの予期しないインタラクションの受け取りを拒否できます。これにより、ブラウザはプロセス内でウィンドウを分離できるようになります。これは重要なプロセスレベルの保護を追加することになり、完全なサイト分離を有効化できないブラウザで特に重要になります。
詳しくは、web.dev/coop-coep をご覧ください。
Cross-Origin Embedder Policy(COEP)を使う
アプリケーションがリクエストした認証済みリソースの読み込みを明示的にオプトインできます。 現在、Chrome や Firefox の機密性が高いアプリケーションでプロセスレベルの分離を保証するには、COEP と COOP の両方を有効化する必要があります。
詳しくは、web.dev/coop-coep をご覧ください。
アプリケーションでは、これらの分離メカニズムに加えて、X-Frame-Options ヘッダーや X-Content-Type-Options ヘッダーなどの標準の保護も有効化し、SameSite Cookie を使うようにしてください。