Real World HTTP 第2版 輪読会 14章 セキュリティ:ブラウザを守るHTTPの機能
14章 セキュリティ:ブラウザを守るHTTPの機能
tommy.icon
14.1
「従来型」
14.3
14.8
TOTP
6桁ってRFCで定義されたのか
WebAuthn
ヌーラボさんが対応してたな
14. 11
あの手この手でトラッキングするんだなぁ
あとがき
tanabe.icon
14.2
ブラウザを狙う攻撃の特徴
セッショントークン or Cookie
トークン
サーバーとブラウザの関係を一意に決めるもの
XSS
Cotent-Security-Policy
Hogan.js
サーバー側で行われていたことをクライアント側でやるように
クライアントサイドでのHTMLのテンプレート
JavaScript用のテンプレートエンジン
Vue.js
Mixed Content
広告や外部のサービスが提供するコンテンツなどにhTTPで配信される素材が今夕することがある
Content-Security-Policy: upgrade-insecure-requests
block-all-mixed-content
14.5
セッションハイジャッキング
ウェブサービスのセッショントークンを盗み出しウェブサイトにログインする攻撃
個体識別番号
Macアドレス
対処法
https
set-Cookie: httpOnly, secure
クッキーインジェクション
HTTPS接続を迂回する可能性がある
対策
サブドメインからの再設定の禁止
同一ドメインであってもsecure付きのクッキーはHTTPから上書きできない
リスト型アカウントハッキング
脆弱なウェブサーバーが不正侵入を受けて、ユーザーの登録IDと、平文で保存されたパスワードが流出した時に同じメールアドレスとパスワードを流用しているユーザーのセキュリティが無効になる
14.7
脆弱性のあるコードのインジェクション
脆弱性自体は日々検知されていてその対処法も提供されている
Vuls
Trivy
Snyk
脆弱性検知機能を提供しているパッケージマネージャ
ユーザートラッキング
Google Analytics
Finger Print
サードパーティクッキー
Super Cookie
Firefoxで総合的な対応が行われるようになった