• はてなブックマーク
  • テクノロジー
  • Spectre の脅威とウェブサイトが設定すべきヘッダーについて
  • Twitterでシェア
  • Facebookでシェア

Spectre の脅威とウェブサイトが設定すべきヘッダーについて

テクノロジー カテゴリーの変更を依頼 記事元:blog.agektmr.com
適切な情報に変更
560 usersがブックマーク コメント26

    記事へのコメント26

    • 注目コメント
    • 新着コメント
    kazkun
    kazkun SpectreってJavascriptで悪用可能なレベルになつてたのか。すごいな。

    2021/11/02 リンク

    その他
    ms2sato
    ms2sato 「同じプロセスの内容を推察できる」という脆弱性に対応する為に、攻撃者から自サービスのリソースを不用意に読み込ませなくする設定一覧。iframe、画像読み込み、ポップアップなど防ぐ。

    2021/11/02 リンク

    その他
    Shisama
    Shisama Spectreを防ぐために、開発者が適用すべきHTTPヘッダについてわかりやすく解説されている。CORP、X-Frame-Options、COOP、X-Content-Type-Options: nosniffなど

    2021/11/01 リンク

    その他
    inductor
    inductor わかるんだけどCSPはちゃんと運用するのが難しすぎて人類には早すぎるって数年前からずっと言われているまま少なくとも自分の知る限りで改善はされてないと思うんだけど、Report-Only以外になんかいい方法ないのかな

    2021/11/02 リンク

    その他
    spark7
    spark7 chromeがクソすぎてサードパーティcookieを生かし続けてるのがいけない「多くの場合サードパーティー Cookie を必要とするリソース、ということになります」

    2021/11/02 リンク

    その他
    ryunosinfx
    ryunosinfx Twitterでかいくぐれるか確認するとベストな設定でカッチカチなので参考になる。

    2021/11/02 リンク

    その他
    hope_ring
    hope_ring 当座はOSどころか各アプリケーションで面倒みないといけないの?ツライ。。。現状は対処できないCPUが山のように生きてるってことだよね。。。windows11の世代古いCPUサポートしない問題はコレだと思うんだけど

    2021/11/02 リンク

    その他
    NOV1975
    NOV1975 20年前、こんな問題が起きるなんて想像もしてなかったけどな。ブラウザという存在の中に便利ツールと金を動かす取引ツールが汎用のものとして同居しているってのがもう無理なんじゃ。専用クライアント作ろう。

    2021/11/02 リンク

    その他
    send
    send めちゃくちゃいいまとめだ

    2021/11/04 リンク

    その他
    iekusup
    iekusup ほー。

    2021/11/03 リンク

    その他
    tettekete37564
    tettekete37564 そもそも Spectre の原理が分からん。ハード的なアーキテクチャ由来の脆弱性なのにJSで実現できるというのもなんか不思議

    2021/11/03 リンク

    その他
    tattyu
    tattyu インターネットは複雑になり過ぎてしまったな。。Chromeがやたらとプロセス作るのはそう言う理由もあったのか。

    2021/11/03 リンク

    その他
    IGA-OS
    IGA-OS Spectreに該当するCPU環境は、まだ数年は現役やろうしな・・・Webサービス側も対策せないかんのね

    2021/11/03 リンク

    その他
    rryu
    rryu サイト側で何かできるのと思ったら、オリジンを跨いだデータ参照が発生しなければブラウザが守ってくれるかもしれないから頑張って設定しようという感じっぽい。

    2021/11/02 リンク

    その他
    ryunosinfx
    ryunosinfx Twitterでかいくぐれるか確認するとベストな設定でカッチカチなので参考になる。

    2021/11/02 リンク

    その他
    fashi
    fashi これ対策してても悪意のあるブラウザ拡張が侵入したら無意味になるから怖いよな

    2021/11/02 リンク

    その他
    aoki789
    aoki789 “Spectre”

    2021/11/02 リンク

    その他
    NOV1975
    NOV1975 20年前、こんな問題が起きるなんて想像もしてなかったけどな。ブラウザという存在の中に便利ツールと金を動かす取引ツールが汎用のものとして同居しているってのがもう無理なんじゃ。専用クライアント作ろう。

    2021/11/02 リンク

    その他
    spark7
    spark7 chromeがクソすぎてサードパーティcookieを生かし続けてるのがいけない「多くの場合サードパーティー Cookie を必要とするリソース、ということになります」

    2021/11/02 リンク

    その他
    programmablekinoko
    programmablekinoko クライアント側のマイクロサービス諦めて自社ドメインの単一サーバークライアント方式に戻そう(提案)

    2021/11/02 リンク

    その他
    kabuquery
    kabuquery 安全はつまらない

    2021/11/02 リンク

    その他
    inductor
    inductor わかるんだけどCSPはちゃんと運用するのが難しすぎて人類には早すぎるって数年前からずっと言われているまま少なくとも自分の知る限りで改善はされてないと思うんだけど、Report-Only以外になんかいい方法ないのかな

    2021/11/02 リンク

    その他
    hope_ring
    hope_ring 当座はOSどころか各アプリケーションで面倒みないといけないの?ツライ。。。現状は対処できないCPUが山のように生きてるってことだよね。。。windows11の世代古いCPUサポートしない問題はコレだと思うんだけど

    2021/11/02 リンク

    その他
    rgfx
    rgfx つら。。

    2021/11/02 リンク

    その他
    suekunhello
    suekunhello メモ

    2021/11/02 リンク

    その他
    efcl
    efcl ウェブサイトでのクロスサイト/クロスオリジンに関連するセキュリティヘッダーについて。 Spectre後のサイドチャネル攻撃に関係するヘッダーの解説など

    2021/11/02 リンク

    その他
    youchin
    youchin 半導体界隈が見たらまた騒ぎそうな命名だなおい(半導体設計ツールにそういうのがある)

    2021/11/02 リンク

    その他
    oldriver
    oldriver 後で読みます

    2021/11/02 リンク

    その他
    tamakiii
    tamakiii “Spectre”

    2021/11/02 リンク

    その他
    teramako
    teramako 何故これが規定ではないのか?

    2021/11/02 リンク

    その他
    yarumato
    yarumato “なぜcross-originからの悪意ある読み込みを防ぐウェブサイト設定が必要か。Spectre(2018)はCPUの脆弱性。同じブラウザに表示した別サイト情報が盗まれる可能性。ブラウザ上でのアクセス制御をHTTPレスポンスヘッダー設定で”

    2021/11/02 リンク

    その他
    kazkun
    kazkun SpectreってJavascriptで悪用可能なレベルになつてたのか。すごいな。

    2021/11/02 リンク

    その他
    ms2sato
    ms2sato 「同じプロセスの内容を推察できる」という脆弱性に対応する為に、攻撃者から自サービスのリソースを不用意に読み込ませなくする設定一覧。iframe、画像読み込み、ポップアップなど防ぐ。

    2021/11/02 リンク

    その他
    Shisama
    Shisama Spectreを防ぐために、開発者が適用すべきHTTPヘッダについてわかりやすく解説されている。CORP、X-Frame-Options、COOP、X-Content-Type-Options: nosniffなど

    2021/11/01 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    Spectre の脅威とウェブサイトが設定すべきヘッダーについて

    長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は...

    ブックマークしたユーザー

    • murasuke2024/03/16 murasuke
    • mizdra2024/01/26 mizdra
    • techtech05212023/04/19 techtech0521
    • donotthinkfeel2022/03/13 donotthinkfeel
    • tetram2021/12/29 tetram
    • sakef2021/12/16 sakef
    • karahiyo2021/12/08 karahiyo
    • yoshi-nkyma2021/12/04 yoshi-nkyma
    • hachi8octo2021/11/25 hachi8octo
    • myfirm2021/11/23 myfirm
    • rch8502021/11/17 rch850
    • soulja_boy2021/11/16 soulja_boy
    • noriaky2021/11/15 noriaky
    • gobramoon2021/11/12 gobramoon
    • respectbookmark2021/11/10 respectbookmark
    • kei21002021/11/08 kei2100
    • etakaha2021/11/08 etakaha
    • o_hiroyuki2021/11/06 o_hiroyuki
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.