令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
RFC 7807: Problem Details for HTTP APIs
Internet Engineering Task Force (IETF) M. Nottingham Request for Comments: 7807 Akamai Category: Standards Track E. Wilde ISSN: 2070-1721 March 2016 Problem Details for HTTP APIs Abstract This document defines a "problem detail" as a way to carry machine- readable details of errors in a HTTP response to avoid the need to define new error response formats for HTTP APIs. Status of This Memo This is
「スマホでのコンテンツ視聴に占める広告の比率調査」を実施
「スマホでのコンテンツ視聴に占める広告の比率調査」を実施主要Webサイトのデータ転送量、平均4割は広告 株式会社角川アスキー総合研究所(本社:東京都文京区 代表取締役社長:加瀬典子)は11月4日、「スマホでのコンテンツ視聴に占める広告の比率調査」および「ブラウザーアプリによるWeb表示速度の調査」を実施し、その結果を取りまとめましたので、お知らせいたします。 新型コロナウイルス感染症流行の影響による外出自粛などによって、国内のインターネットのデータ転送量は、月によっては例年より約5割増加しました(米アカマイ・テクノロジーズ調べ、2020年4月)。インターネットのデータ転送量には、コンテンツのデータだけでなく広告のデータも含まれ、その広告データの通信料金も、ユーザーが負担していることになります。そこで今回、Webをスマートフォンから利用する際のデータ転送量のうち、広告データがどの程度の比率を
Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST
Netlifyが日本からだと遅い - id:anatooのブログ
仕事で Netlify にデプロイしたSPAの読み込みが遅いので原因を調査してほしい、という依頼を受けてウェブパフォーマンス調査を行った。顧客から許可をもらって、この記事ではNetlifyに対してどういう調査をしたのかを書く。 結論だけをまず書くと、NetlifyのCDNのファイル配信パフォーマンスは日本国内からだと非常に悪い。パフォーマンスを改善させるためには、Netlifyに直接アクセスさせるのではなく、前段に他のCDNやキャッシュサーバを挟んだりするほうがいいだろう。 調査の前提 日本国内からのみの調査 サイトには静的なファイルをデプロイしているのみ 該当するNetlifyにデプロイしたSPAをブラウザで試しに開いてみると、確かに初回の読み込みのパフォーマンスがめちゃくちゃ悪い。 Chrome Devtoolsを開いてネットワークタブでどういうふうにリソースの読み込みを行っているのか
Fast or Slow - Global Website Performance Profiler
Fast or Slow Global Website Speed Profiler Profile
オレオレ証明書を使い続ける上場企業をまとめてみた - megamouthの葬列
あるいは私たちがPKIについて説明し続けなければいけない理由 Web屋のなくならない仕事の一つに「SSL証明書とPKIについて説明する」というのがある。 世の中のサイトはだいたいhttps://というアドレスでつながるように出来ていて、httpsでつながるということは何らかのSSL/TLS証明書が必要だということだ。(さもなければchromeがユーザーに不吉な警告を発することになる) 証明書が必要になる度、同じ質問が繰り返される。「なんか全部値段が違うけど、どの証明書(ブランド)がいいの?」と。そして私たちは毎回困ってしまう。 エンドユーザーの立場で言えば、証明書が有効でありさえすれば、無料のLet's Encryptでも21万円するDigiCertグローバル・サーバID EVでも、Webサイトの利便性は何も変わらない。私たちWeb制作業者の立場でも、代理店契約でもしない限り、証明書そのも
5Gモバイルの速さを実感しよう
ワイヤレスサービスは間もなくアップグレードの瞬間を迎えることになる。米通信企業は消費者のポケットに今後数カ月のうちに次世代移動通信システム「5G」を届けようとしのぎを削っている。 この高速ネットワークは新たな基地局を設置し、周波数帯域を広げることで、4G に比べて最大100倍速いモバイル通信サービスを提供できる。しかも、はるかに低い遅延(レイテンシー)で。 日常生活で5Gサービスをどのように感じるかシミュレーションしてみよう。 Methodology: The Journal's speed analysis is based on mobile data download speeds for 3G and 4G service provided by wireless industry trade body CTIA. It estimates speeds of between 6.
パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので
イノベーションを阻害する「技適」。経団連などが規制改革要望を提出 – すまほん!!
規制改革要望の内容 一般社団法人日本経済団体連合会は2016年11月、技適(技術適合認証)未取得機器の利用に関する規制改革要望を、内閣府規制改革ホットラインに提出しました。 経団連は、技適の存在自体は電波利用環境の整備・維持に寄与するものと認めつつも、以下のように要望しました。 研究開発業務において活用を検討する新規技術を搭載した通信機器・通信モジュールに関して、技術基準適合証明を取得しておらずとも海外より輸入および研究開発への利用を許容すべきである。 特に、訪日観光客等に対して、入国の日から90日に限って利用可能とされているWi-Fi端末及びBluetooth端末(日本の「技術基準適合マーク」が付されていないが、日本の技術基準に相当する技術基準(国際標準)に適合するもの)については、早期に研究開発での利用が可能となるよう制度整備を図るべきである。 現行制度の問題点 総務省の電波法改正によ
test.comやaaa.comをテストデータに使うのはやめましょうという話 – 打つか投げるか
2018/02/13追記:「サンプル用のドメインを使おう」の説明に “.example” と “.test” の使い分けについて追記しました。 Web システム開発時のテストデータを作成する時、また各種ドキュメントを書いている時など、サンプルの URL を使う場面は多いと思いますが、その時に適当なドメイン名を使うのはやめましょう、という話です。 知っている方には当たり前レベルの話ですが、意外と IT 企業のシステム開発現場等でも普通に見かけることがまだまだありますので・・・。 よく見かける例 例えば、こんなドメインの URL で開発中システムのテストデータを作っていたり、仕様書に説明が書かれていたりする場面をよく見かけませんか? test.comaaa.comabc.comsample.comdummy.comhoge.com でも、これらのドメインって存在していて、また実際に利用されてい
[フロントエンド] ローカルプロキシのCharlesを使って、HTTPSサイトもデバッグする - YoheiM .NET
こんにちは、@yoheiMuneです。 先日、[フロントエンド] ローカルプロキシを用いて、本番サイトで開発/デバッグを行うというブログを書きましたが、本日はその続きでHTTPSサイトでもデバッグする方法をブログに書きたいと思います。 目次 HTTPS通信をローカルプロキシで確認&改ざんする設定 先日のブログで紹介したCharlesでは、デフォルト設定ではHTTPsサイトに対応することはできません。追加で以下の設定を行います。 証明書の発行と適用 Charlesで利用する証明書の発行と適用を行います。これを用いてHTTPSの暗号化をCharles上で復号化して通信内容を見えるようにします。 Charlesのメニューから「help < SSL Proxing < Install Charles Root Certificate」で証明書のインストールを行います。そうすると、以下のようにキーチ
![[フロントエンド] ローカルプロキシのCharlesを使って、HTTPSサイトもデバッグする - YoheiM .NET](https://cdn-ak-scissors.b.st-hatena.com/image/square/018fe638014565f5e98569a1925bdcfb0d08c98b/height=288;version=1;width=512/https%3A%2F%2Fwww.yoheim.net%2Fimage%2F438.jpg)
ポートノッキングで10秒間だけsshdを公開する設定 - hnwの日記
先日Twitterに次のような書き込みをしたところ思ったより反応が良かったので、詳細の設定を紹介します。 UDP53番、TCP443番、UDP123番とポートノッキングをするとTCP443番に10秒だけsshdが現れる、という中二病全開の設定をした。皆様にもお勧めしたい。— hnw (@hnw) 2017年3月26日 といっても特殊なことをしたわけではなく、knockdでポートノッキングの設定を行い、iptablesと組み合わせて実現しました。 ポートノッキングとは ポートノッキングというのは、決められたポートを決められた順番で叩くことでファイアーウォールに穴を空けられるような仕組みのことです。ポートノッキングを使えば、TCPの7000番、8000番、9000番の3ポートにパケットを送りつけると22番ポート (SSH) へのアクセスが許可される、といった設定ができます。 ポートノッキングの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - ycd/dstp: 🧪 Run common networking tests against any site.
「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法
ブログ(Wireless・のおと)|サイレックス・テクノロジー株式会社
How-To: Redirecting network traffic to a new IP using IPtables
ENOG-20171027-公開資料.key
How DNS works
