nano系の広告ブロックは速やかに削除しましょう | 280blocker
有名な広告ブロック機能拡張であるNanoAdblockerとNanoDefenderが正体不明の開発者に買収され、安全な機能拡張とは言えなくなりました。 これらを使用している方は速やかに削除して、uBlock Originへ乗り換えましょう。安心できる開発者であることが明らかになるまでnanoのインストールは控えましょう。 これまでの流れ NanoAdblockerとNanoDefenderは広告ブロックの有名な機能拡張でublockから派生したものです。 以前は独自機能で魅力的でしたが、最近はアップデートも遅れがちで、ublockのアップデートに追い付いていない状態が続いていました。 2020年10月3日にnanoの開発者よりアナウンスがあり、機能拡張をトルコの開発者へ売却する事が明らかになりました。売却先の詳細や買収した意図は不明です。その数日後ににnano機能拡張の開発元表示が売却先
Latest topics > なぜMozillaはXULアドオンを廃止したのか?(翻訳) - outsider reflex
Latest topics > なぜMozillaはXULアドオンを廃止したのか?(翻訳) 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « 「同調圧力は忌むべきものだ」と思考停止していたことに気付いた話 Main 「なぜMozillaはXULアドオンを廃止したのか?」に寄せられていた反応を見て、「甘い……甘すぎる……」と思って、W3C信者時代からの価値観に行き着いた話 » なぜMozillaはXULアドオンを廃止したのか?(翻訳) - Aug 22, 2020 (原著:David Teller, 2020年8月20日、CC BY-NC 4.0で公開されている内容の全訳。Qiitaにもクロスポストしています。) 要約:Firefoxはかつて、XUL
Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み W3Cは3月4日、FIDOアライアンスのFIDO2仕様の中心的な構成要素であるWeb認証技術の「Web Authentication」(WebAuthn)が勧告になったことを発表しました。 W3Cが策定する仕様はおもに、草稿(Working Draft)、勧告候補(Candidate Recommendation)、勧告案(Proposed Recommendation)を経て正式仕様となる「勧告」(Recommendation)に到達します。今回、WebAuthnが勧告となったのに合わせて、W3CとFIDOアライアンスはWebAuthnの仕様が正式版になったことも発表しました。 WebAuthnは2018
X-Frame-Options - HTTP | MDN
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
TLSに脆弱性「Logjam」発覚、主要ブラウザやメールサーバに影響
通信の内容を暗号化するHTTPS接続に使われているTLSプロトコルに、また重大な脆弱性が見つかった。3月に発覚したSSL/TLS実装の脆弱性「FREAK」に似ているが、今回の脆弱性はTLS自体に存在し、主要なWebブラウザや電子メールサーバなどに広範な影響が及ぶという。 今回発覚した脆弱性は「Logjam」と命名され、解説サイトが公開された。それによると、TLSでセキュアな接続を確立するための暗号アリゴリズム「Diffie-Hellman(DH)鍵交換」に脆弱性がある。同アルゴリズムはHTTPS、SSH、IPsec、SMTPSなど多数のプロトコルに使われている。 この脆弱性を悪用された場合、通信に割り込む中間者攻撃を仕掛けてTLS接続を512ビットの輸出グレード暗号に格下げさせ、通信の内容を攻撃者が傍受したり改ざんしたりすることが可能とされる。 脆弱性は「DHE_EXPORT」の暗号スイー
Deprecating Non-Secure HTTP – Mozilla Security Blog
Today we are announcing our intent to phase out non-secure HTTP. There’s pretty broad agreement that HTTPS is the way forward for the web. In recent months, there have been statements from IETF, IAB (even the other IAB), W3C, and the US Government calling for universal use of encryption by Internet applications, which in the case of the web means HTTPS. After a robust discussion on our community
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
Same-Origin Policy とは何なのか。 - 葉っぱ日記
ちょっと凝ったWebアプリケーションを作成していたり、あるいはWebのセキュリティに関わっている人ならば「Same-Origin Policy」(SOP)という言葉を一度は聞いたことがあると思います。日本語では「同一生成元ポリシー」あるいは「同一生成源ポリシー」などと訳されることもありますが、個人的には「オリジン」は固有の概念を表す語なので下手に訳さず「同一オリジンポリシー」と書いておくのが好きです。 さて、この「オリジン」とは何なのかという話ですが、これは「RFC 6454 - The Web Origin Concept」で定められており、端的に言うと「スキーム、ホスト、ポート」の組み合わせをオリジンと定め、それらが同じものは同一のオリジンとして同じ保護範囲のリソースとして取り扱うということです。 例えば、http://example.jp/fooとhttp://example.jp:
JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を
ブラウザの「プライベートブラウズ」機能はそんなにプライベートではない | スラド セキュリティ
スタンフォード大学の研究者らによる調査で、Web ブラウザの「プライベートブラウズ」を使用している場合でも、ユーザーのプライベートが守られないことがある、という結果が明らかになった (Ars Technica の記事、19th USENIX Security Symposium の原稿 (PDF))。 「プライベートブラウズ」機能は Firefox や Safari に搭載されている機能で、ブラウズ履歴や Cookie、キャッシュなど「ユーザーがどの Web ページを閲覧したのか」という情報を保存せずに Web サーフィンを行えるもの。IE や Google Chrome にも「InPrivate ブラウズ」や「シークレットモード」という名称で同様の機能が用意されている。しかし、研究者らがこの機能について調査を行ったところ、実際には「プライベート」な Web 閲覧とそうでない Web 閲覧
アドビ、「Flash Player」の「クリックジャッキング」回避策を発表
Adobeは米国時間10月7日、攻撃者が「Flash」のセキュリティ設定を変更できるという重大な問題に対する回避策を発表した。 WhiteHat Securityの最高技術責任者(CTO)であるJeremiah Grossman氏が9月にブログに投稿した内容によると、「クリックジャッキング(clickjacking)」という言葉は、「攻撃者がユーザーをだまし、ほとんど気付かないか、気付くチャンスが一瞬しかないような何かをクリックさせるような攻撃手法」に付けられた名前であるという。また同氏は、「クリックジャッキングへの対策は主としてブラウザベンダーの双肩にかかっている」と述べたものの、自身とRobert Hansen氏は協議のうえで、これ以上の詳細情報の公開を控えるとともに、最近開催された「OWASP NYC AppSec 2008 Conference」で行う予定だった討論もAdobeから
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
