他人のCookieを操作する - T.Teradaの日記
脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。 このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に現状のブラウザではリスクは低いです」みたいな話がされることが多いのではないかと思います。 本日の日記では、それ(Cookie Monster)以外にも状況によっては考慮すべきことがある、という話をしたいと思います(過去の日記でも少し書いた話ですが、もう少しちゃんと書いておこうと思います)。 通信経路上に攻撃者がいる 被害者のブラウザとサーバの通信経路上に、アクティブな攻撃者がいると想定しましょう。 そのような状況では、攻撃者は正規のサーバになりかわってブラウザと通信をしたり、ブラウザと正規のサーバで交わされる通信に介入することが
Google、サードパーティcookie廃止を3度目の延期 年内には実施せず
米Googleは4月23日(現地時間)、2024年中に完了する予定だったWebブラウザ「Chrome」でのサードパーティcookieの廃止を延期すると発表した。延期はこれで3度目になる。 延期の理由は「業界、規制当局、開発者からの異なるフィードバックを調整することに関連する課題が継続している」ため。 特に、「プライバシーサンドボックス」の取り組みに懸念を示している英政府競争規制当局の競争・市場庁(CMA)が「業界テストの結果を含むすべての証拠を検討するための十分な時間を確保することが重要」としている。 CMAは1月、Googleに対し、複数の競争関連の懸念が解消されるまで、サードパーティcookie廃止を一時停止するよう命じた(リンク先はPDF)。 CMAによる検討などに引き続き協力することで、プロセスを年内に完了し、合意に達すれば2025年初頭から廃止を進める想定という。 Googleは
Preparing for the end of third-party cookies | Privacy Sandbox | Google for Developers
Preparing for the end of third-party cookies Stay organized with collections Save and categorize content based on your preferences. If your site uses third-party cookies, it's time to take action as we approach their deprecation. To facilitate testing, Chrome has restricted third-party cookies for 1% of users from January 4th, 2024. Chrome plans to ramp up third-party cookie restrictions to 100% o
Cookie2 とは何か | blog.jxck.io
Intro タイトルを見て「Cookie の新しい仕様か、キャッチアップしよう」と思って開いたのなら、以降を読む必要はない。 Cookie History 2000 年に発行された Cookie の仕様である RFC 2965 では、仕様中に Set-Cookie2/Cookie2 (以下 Cookie2) という 2 つのヘッダが定義されている。しかし 2011 年に改定された現行の RFC 6265 ではそれらヘッダは deprecate されており、実際の Web でこれらのヘッダが交換される場面を、少なくとも筆者は見たことがない。存在すら知らない開発者も多いだろう。 筆者はずっと、この仕様がどのように出てきて、どうして消えていったのかが気になっていた。 Web 上にも情報が少なく、「歴史上の理由で」とか分かったようなことを言ってる人がたまにいるくらいだ。四半世紀前のことなので経緯を
Cookie Store API による document.cookie の改善 | blog.jxck.io
Intro JS から Cookie を操作する document.cookie の改善を目的とした Cookie Store API についてまとめる。 document.cookie document.cookie は、ブラウザの API における代表的な技術的負債の一つと言える。 HTML Standard https://html.spec.whatwg.org/multipage/dom.html#dom-document-cookie 基本的な使い方は以下だ。 document.cookie = "a=b" console.log(document.cookie) // a=b まず、この API の問題を振り返る。 同期 API 最も深刻なのは、 I/O を伴いながら、同期 API として定義されているところだ。 この API は古くから実装されているため、I/O は非同期
WordPressが発行するCookieにHttpOnly属性が付いていないことを問題にされた場合の対処
うちも自動検査ツールの生成したレポートをメールしてお金もらうだけの簡単なお仕事で儲けたいよ。 Tweet 2021年6月22日 嶋田大貴 世の中にはWebサイトのセキュリティ検査をする有料サービスがあって、そういったサービスを利用すると WordPressが発行する wordpress_test_cookie という Cookieに HttpOnly属性が付いていないという指摘を受けることがあると風のうわさに聞いた(あくまでこれは伝聞である。繰り返す。伝聞である)。 コマンドラインからの確認方法 コマンド curl -I https://YOUR-WORDPRESS-SITE.com/wp-login.php | grep 'Set-Cookie' 結果 < Set-Cookie: wordpress_test_cookie=WP+Cookie+check; path=/; secure
2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック(タップ)をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter
Meety脆弱性 2022-11
meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。 免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。 好ましくないが仕様だろうというものは書いていません。 他の脆弱性が無いことを保証するものではないです。 これはsecret gistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。 近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。 悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。 自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました 以下 1-4
Cookie規制が招くWeb体験の危機
欧州委員会はWebを破壊していると私は考えるようになりました。ユーザーのプライバシーを守ろうとする彼らの試み(GDPRやクッキー法とも呼ばれるeプライバシー指令)は、クッキー通知とプライバシーポリシーのオーバーレイの氾濫という予期せぬ結果を引き起こしました。 事実、平均的なユーザーの立場からすると、ネットワーク中立性の崩壊よりもクッキークライシスの方が、日々のWeb上での体験においてダメージが大きいと言えます。 それでも、ネットワーク中立性に関わるものと同じような組織的抵抗は、クッキー通知の異常性に対してはほとんど発生していません。私たちは、その意図が良いものであるために受け入れているのです。 誤解しないでほしいのですが、その意図自体は良いことです。どのサイトがトラッキングしてOKで、どの情報を収集しても良いかの主導権はユーザーが持つべきです。欧州委員会の取り組みは評価に値します。ただし、
牧歌的 Cookie の終焉 | blog.jxck.io
Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため
Google、サードパーティー製CookieのChromeでのサポートを2年以内に終了へ
同社はまた、2月のChromeのアップデートで、サードパーティーで使うためにラベル付されたCookieにHTTPS経由のアクセスを要求する計画も発表した。これにより、安全でないクロスサイトトラッキングを制限する。 関連記事 「クッキー」から始めるプライバシーの旅 Webブラウザの「クッキー」という仕組み。リクナビの内定辞退率の予測にまつわる問題でやり玉に上がりましたが、そもそもどんな仕組みなのでしょうか。クッキーの理解から、プライバシーを考えていきます。 Chromium版「Microsoft Edge」は2020年1月15日リリース Microsoftが、Chromium版ブラウザ「Microsoft Edge」の正式版を2020年1月15日に公開すると発表した。WindowsとmacOS版だ。新ロゴはイノベーションの波を表現したとしている。 Google、個人のプライバシーと最適な広告
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3rd Party Cookieのカレンダー | Advent Calendar 2023 - Qiita