PHPerKaigi 2021 の登壇資料です。 Cookie を使った Session 管理について解説しています。
膨大な個人データを収益化する巨大IT企業のビジネスモデルを、自著で「監視資本主義」と名付けたショシャナ・ズボフ米ハーバード大経営大学院名誉教授が、毎日新聞のオンライン取材に応じた。ズボフ氏はインターネット空間を支配するこのビジネスモデルは「民主主義にとって破滅的なもの」で、法律によるルール作りが不可欠だと主張。欧州連合(EU)が進める巨大IT規制を、変革に向けた「新たな局面」をもたらす動きだとして高く評価した。 現在のネット空間では、人々がパソコンやスマートフォンで情報を検索したり、ネット交流サービス(SNS)などを使ったりするたびに、利用履歴など個々人に関するデータが収集される仕組みになっている。ズボフ氏はグーグルやフェイスブック(FB、現メタ)などの巨大ITがこれらのデータを事実上無断で利用し、人々がどんな行動をとるのか予測して広告主などに販売する、新たな市場を構築したと指摘する。そし
README.md サブドメインをユーザーホスティングサイトに使うときのパターン hoge.example.com でユーザが作成したサイトをホスティングして、任意のJavaScriptを実行できる状態にしたいケース。 サブドメインを分けることで、Fetch APIなどはSame Origin Policyを基本にするため、別のサブドメインや example.com に対するリクエストなどはできなくなる。 一方で、CookieはSame Origin Policyではない。 デフォルトでは、hoge.example.com から example.com に対するCookieが設定できる。 これを利用したDoS(Cookie Bomb)やこの挙動を組み合わせた別の脆弱性に利用できる場合がある。 The Cookie Monster in Your Browsers - Speaker Dec
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Intro JS から Cookie を操作する document.cookie の改善を目的とした Cookie Store API についてまとめる。 document.cookie document.cookie は、ブラウザの API における代表的な技術的負債の一つと言える。 HTML Standard https://html.spec.whatwg.org/multipage/dom.html#dom-document-cookie 基本的な使い方は以下だ。 document.cookie = "a=b" console.log(document.cookie) // a=b まず、この API の問題を振り返る。 同期 API 最も深刻なのは、 I/O を伴いながら、同期 API として定義されているところだ。 この API は古くから実装されているため、I/O は非同期
作成日 2022-12-30 更新日 2022-12-30 author @bokken_ tag Web, Privacy, Security, Cookie はじめに 3rd Party Cookie をブロックする制限を緩和するための仕様である CHIPS が策定されている。¶ 近年、ユーザの Privacy の向上を目的として 3rd Party Cookie をブロックする流れがある。cross site でユーザトラッキングを提供する多くのツールは 3rd Party Cookie を使っているため、3rd Party Cookie をブロックすることで解決しようとするものだ。すでにいくつかのブラウザではこういった動きが見られる(Firefox, Safari)。¶ しかし、一部のサイトでは 3rd Party Cookie が有効に使われているケースもある。こういったケースで
meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。 免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。 好ましくないが仕様だろうというものは書いていません。 他の脆弱性が無いことを保証するものではないです。 これはsecret gistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。 近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。 悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。 自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました 以下 1-4
The Ultimate Guide to handling JWTs on frontend clients (GraphQL) JWTs (JSON Web Token, pronounced 'jot') are becoming a popular way of handling auth. This post aims to demystify what a JWT is, discuss its pros/cons and cover best practices in implementing JWT on the client-side, keeping security in mind. Although, we’ve worked on the examples with a GraphQL clients, but the concepts apply to any
When Joanna Strober was around 47, she stopped sleeping. While losing sleep is a common symptom of perimenopause, she first had to go to multiple providers, including driving 45 minutes out of San Fra The Federal Trade Commission hit Razer with a $1.1 million fine Tuesday. The order claims that the gaming accessory maker misled consumers by claiming that its flashy Zephyr mask was certified as N95
Note: Read about past updates to this technology in other blog posts about Intelligent Tracking Prevention, the Storage Access API, and ITP Debug Mode. Intelligent Tracking Prevention (ITP) version 2.3 is included in Safari on iOS 13, the iPadOS beta, and Safari 13 on macOS for Catalina, Mojave, and High Sierra. Enhanced Prevention of Tracking Via Link Decoration Our previous release, ITP 2.2, foc
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
今年の1月にGoogleより3rd-party cookieの廃止が発表されました。 この発表がきっかけでユーザのプライバシー保護とオンライン広告のエコシステム(ターゲティング広告、計測、アドフラウド対策)の維持を目的とする技術的な取り組み「Privacy Sandbox」に注目が集まりました。 実はPrivacy SandboxだけじゃないGoogleの提案ばかり注目されがちですが、プライバシーに配慮した技術提案を行っているのは、それだけではありません。アドテックとブラウザにおいてNo.1のシェアを誇るGoogleは、シェアの高さゆえに実はプライバシー保護に一番消極的で、Safariに比べると2年ほど対応が遅れています。 プライバシー保護に関わる技術的な取り組みはPrivacy Sandboxの他にも、Webを支える技術の標準化を担うW3C(World Wide Web Consorti
はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として「Access-Control-Allow-Origin」に設定される値自体はどうでも良くないです。重要です。 理由がよくわからない場合は以下の記事をご覧いただければと思います。 https://developer.mozilla.org/ja/docs/Web/HTTP/CORS では、そこまで重要でもないと思ったのは何なのか……。それは「Access-Control-Allow-Origin」に以下の値が設定されていた場合、どちらがセキュリティ的にマシなのか?とい
先日割と感情的に呟いたものがそこそこ拡散されてしまって、「良くないものだ」という気持ちだけが広まってしまうのは本意ではないので、改めてきちんとした議論をしたいという思いでこの記事を書きます。 前提となる立場 トラッキングをすること自体の是非は問わない トラッキングの手法についての議論である ユーザーがトラッキングを望まない場合、積極的な対処をせずとも有効な選択肢が与えられる状態が望ましい CNAME トラッキングの方法・背景 アドエビスによる解説がわかりやすいです。最近の Third-party Cookie に対する制限の回避策となり得ます。 セキュリティの懸念事項 不適切な設定をされた Cookie が、トラッキングサービスに送信されてしまう Set-Cookie ヘッダに Domain ディレクティブを指定した場合、すべてのサブドメインに Cookie が送信されてしまいます。もし認
サードパーティCookieをトラッキングに使用できないようにする「Cookies Having Independent Partitioned State (CHIPS)」という仕組みが議論されています。 現在は、その仕組はW3CのPrivacy CGで議論されています。細かい仕組みは以前書いたとおりです。 ( トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組み (partitioned属性) - ASnoKaze blog ) このCHIPSは、Cookieに新しいPartitioned属性を利用します。Cookie自体の仕様は、IETFが発行するRFC 6265で定義されており、そこにPartitioned属性を追加してやる必要があります。 そのためIETF側にも「Cookies Having Independent Partitioned State specif
重要なのはここで、 pw.webkit.launch() とするか pw.chromium.launch() とするかで 起動するブラウザが変わるだけです。 デバイスの設定も簡単 pw.devices に主な端末のviewport, UAの情報がまとめられています。 デバイスのリスト: https://github.com/microsoft/playwright/blob/master/src/deviceDescriptors.ts const pw = require('playwright'); // iPhone11のデバイス情報を取得 const iPhone11 = pw.devices['iPhone 11 Pro']; (async () => { const browser = await pw.webkit.launch(); const context = awai
"Same-site" and "same-origin" Stay organized with collections Save and categorize content based on your preferences. "Same-site" and "same-origin" are frequently cited but often misunderstood terms. For example, they're used in the context of page transitions, fetch() requests, cookies, opening popups, embedded resources, and iframes. This page explains what they are and how they're different from
ブラウザのタブなどに表示されるFavicon(ファビコン)は、サイトのシンボルとして重要なアイコンです。しかし、このファビコンにはCookie(クッキー)のようにユーザーを追跡可能な「スーパークッキー」の問題が潜んでいると、研究者らが警鐘を鳴らしています。 Tales of Favicons and Caches – Persistent Tracking in Modern Browsers (PDFファイル)https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf supercookie • workwise https://supercookie.me/workwise ファビコンとは、サイトのシンボルマークとしてタブやURLの隣などに表示される小さなアイコンのことです。 イリノイ大学シカゴ校のセキュリティー研究者らは2021
Evercookieは、ブラウザに究極的に永続的なCookieを生成するJavaScript APIです。 その目的は、標準的なCookie、Flash Cookieなどを削除した後でもクライアントを識別し続けることです。 これは、可能なかぎり多くのストレージにCookieデータを保存することで達成します。 いずれかのストレージからCookieが削除されたとしても、ひとつでも残っている限り、Evercookieは残ったデータからCookieデータを復旧します。 Flash LSO、SilverlightもしくはJavaが有効な場合、Evercookieはブラウザを超えて同じクライアント上の別のブラウザにCookieを伝播することすら可能です。 本リポジトリは、Samy Kamkarおよび多くのコントリビュータによって作られています。 Browser Storage Mechanisms E
クイックサマリー ‐ 私たちは一連の短い記事で開発者とデザイナーにとって有用なツールやテクニックを紹介しており、直近の記事ではCSS監査ツールとCSSジェネレータを取り上げました。この記事ではタブやテーブルからトグルやツールチップまで、信頼性の高いアクセシブルなコンポーネントを見ていきます。 目次 以下にすべてのアクセシブルなコンポーネントをアルファベット順に記載しました。目次をスキップするか、スクロールして1つずつお読みください。 :focus styles autocomplete buttons carousels "close" buttons content sliders checkboxes color systems color palettes comics component libraries cookie consent prompts dark mode data
こんにちは、フロントエンドエキスパートチームの小林(@koba04)です。 フロントエンドエキスパートチームでは、日々の業務としてブラウザやライブラリの更新情報をキャッチアップして社内で共有しています。 例えば先日、CSSのプロパティである image-orientation のデフォルト値が none から from-image に変わったため、画像の Exif 情報の扱いが変更されました。 https://www.fxsitecompat.dev/ja/docs/2020/jpeg-images-are-now-rotated-by-default-according-to-exif-data/ 注: Firefox では COVID-19 の影響により、この変更は延期されました。(Chrome は予定通り 81 で リリースしています) https://blog.chromium.o
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
ある日の我が家 娘(4歳)「パパ、セッションとかCookieってなあに?」 娘「サーバサイドの勉強してると出てくるやつ」 ワイ「おお、今日はその質問か」 ワイ「ええでええで〜、パパが教えたるで〜」 娘「わ〜い!」 ワイ「ワ〜イ!」 例えば月曜日 ワイ「例えば、月曜日の朝は仕事する気にならへんからTwitterを見るやろ?」 娘「うん!」 ワイ「せやからTwitterのホーム画面を見るために」 ワイ「ブラウザのアドレスバーにhttps://twitter.com/homeって打ち込むんや」 ワイ「まぁ実際にはブックマークから行くんやけど、まぁ同じことや」 ワイ「つまりブラウザ君を通して、サーバ君に」 「ワイのTwitterのホーム画面のHTMLをくれや〜」 ワイ「ってことを伝える訳や」 娘「うんうん」 ワイ「でもな?」 ワイ「それもCookieを使ってセッション管理をせんと実現できひんことや
かびら(教育系ITエンジニア)@ステックアップ @StechUp_kawa サードパーティークッキー廃止の動きにより、ネット広告業界は大きな変革を迫られそうですね。GoogleのブラウザであるChromeは、サードパーティークッキーの段階的な廃止に取り組んでいるようです。 そもそもサードパーティークッキーとは何か、改めて整理したいと思います。まずWebサイトには、クッキーと呼ばれる簡単なメモ帳のようなものを紐づけることができます。クッキーには簡単なテキストを保存できます。そのクッキーですが、ファーストパーティークッキーとサードパーティークッキーと呼ばれるものが存在します。それぞれ簡単なテキストを保存できるという意味で役割が一緒ですが、使われ方が異なります。 ファーストパーティークッキーは、訪れたWebサイト内だけで使用するメモ帳です。主な用途としては、ユーザーのログイン情報などを記録し
2016年に制定されたデータ保護規則・GDPRのもと、EUではウェブサイト側がユーザーのCookieを利用したターゲティングを行うためにはユーザーの同意が必要となりました。2021年時点の日本においてCookieやIPアドレスといったオンライン識別子は個人情報に該当せず、企業による利用にユーザーの同意が必要となることはありませんが、近いうちに同様の法整備がなされるものと考えられています。 ウェブサイト閲覧者に表示される「Cookieへの同意」オプションの「全てのCookieを受け入れる」という選択肢をクリックした時に、一体ユーザーは何に同意しているのかという疑問について、ソフトウェア開発者であり起業家であるコンラッド・アクンガ氏がロイター通信のウェブサイトを例に解説しています。 What Do You Actually Agree To When You Accept All Cookie
Privacy Sandbox等のクッキーレスアドテックに関する前回の記事から1年が経とうとしています。1年間様々なベンダーから提案が公開され、議論も進化のペースが激しく、しばらくまとめを断念していました。今年に入ってからもGoogle (ChromeとAds)やAppleからクッキーレス、IDレスアドテックについて発表が相次ぎましたが、主要提案の開発とリリーススケジュールが明らかになり、発散から収束フェーズに入ったと思われるので、一度状況まとめておきます。 振り返り Privacy SandboxはGoogle Chromeの開発チームが提案する、3rd-party cookieとフィンガープリンティングの代替技術(サイトを跨いだ計測とターゲティング機能、アドフラウド防止機能)およびサイトを跨いだユーザ単位のトラッキング防止機能の総称です。3rd-party cookieの段階的な廃止自
ある日,HTML5のLocal Storageを使ってはいけない がバズっていた. この記事でテーマになっていることの1つに「Local StorageにJWTを保存してはいけない」というものがある. しかし,いろいろ考えた結果「そうでもないんじゃないか」という仮定に至ったのでここに残しておく. 先の記事では,「Local StorageにJWTを保存してはいけない」の根拠として「XSSが発生した時,攻撃者がLocal Storageに保存したJWTを盗むことが出来てしまう」といったセキュリティ上の懸念事項が挙げられていた. これに対し,クッキーを用いたセッションベースの認証では,セッションIDをクッキーに保存する.クッキーにHttpOnlyフラグをつけておけば,JavaScriptからはアクセスできず,XSSが発生しても攻撃者はセッションIDを読み取ることが出来ない. 一見すると,これは
by Jakob Owens ユーザーのウェブ上の行動を追跡して、その情報をもとに広告のターゲットを狙い撃ちにするターゲティング広告は広告として成功率が高い一方で、ユーザーのプライバシーを侵害するものだという指摘も存在します。Appleはターゲティング広告を制限する方針を取っているのですが、これがいかに広告業界に大きな影響を及ぼしているかを、The Informationが独自の調べで明らかにしています。 Apple’s Ad-Targeting Crackdown Shakes Up Ad Market — The Information https://www.theinformation.com/articles/apples-ad-targeting-crackdown-shakes-up-ad-market AppleはIntelligent Tracking Preventio
Googleは2022年までにCookieを使った広告配信を終了させ、新たな仕組みをGoogle Chromeに導入する予定です。その仕組みとして検討中のアイデアの1つに「FLoC」と呼ばれるものがありますが、電子フロンティア財団(EFF)はFLoCについて「最悪のアイデア」「実行しないで欲しい」と述べています。 Google’s FLoC Is a Terrible Idea | Electronic Frontier Foundation https://www.eff.org/deeplinks/2021/03/googles-floc-terrible-idea 2018年にEUの新データ保護規則「GDPR」が施行されて以降、SafariやFirefoxがサードパーティーCookieをブロックし、Googleも2020年に「2年以内にChromeでサードパーティーCookieのサポ
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
Auroraはcookieを使わない完全オープンソースなWeb解析ツールです。GAを始め多くのアクセス解析ツールが行う個人情報収集を行わず、アクセスした全員を匿名ユーザーとして扱う、というプライバシーフレンドリーな解析ツールです。 100%OSSとなっており、有償サービスなども用意しておらず、常にソースコードを開示しており、ユーザーへのプライバシーの配慮だけでなく開発者にも安心して使える解析ツールとなっています。 Next.js、Tailwind.css、Knex.jsで作られています。ライセンスはMITとの事。 個人的にもそろそろGA卒業したいなと思いつつも重い腰が上がらず。ブラウザやメールサービスなど出来るところから脱Googleを試みつつもなかなか難しいなという印象です。時間を作って試していきたいと思います。 Aurora
ブラウザの機能が強化されるとともに、多様なアプリケーションがウェブ上で実現できるようになっています。同時に、ウェブサイトやウェブアプリが重要な情報を取り扱うケースも増えて、ハッカーの攻撃対象になることも多くなってきました。そうした場面でハッカーがよく利用する典型的な攻撃手法とその対策について、エンジニアのヴァルン・ナイクさんがブログにまとめています。 CSRF, CORS, and HTTP Security headers Demystified https://blog.vnaik.com/posts/web-attacks.html ◆1:CSRF CSRFはクロスサイトリクエストフォージェリの略称で、ユーザーがログイン済みのウェブサイトに対して第三者がアクションを実行させる攻撃のことです。攻撃は下記の手順で行われます。 1. ユーザーが悪意あるウェブサイトにアクセスする 2. 悪意
米Googleは4月23日(現地時間)、2024年中に完了する予定だったWebブラウザ「Chrome」でのサードパーティcookieの廃止を延期すると発表した。延期はこれで3度目になる。 延期の理由は「業界、規制当局、開発者からの異なるフィードバックを調整することに関連する課題が継続している」ため。 特に、「プライバシーサンドボックス」の取り組みに懸念を示している英政府競争規制当局の競争・市場庁(CMA)が「業界テストの結果を含むすべての証拠を検討するための十分な時間を確保することが重要」としている。 CMAは1月、Googleに対し、複数の競争関連の懸念が解消されるまで、サードパーティcookie廃止を一時停止するよう命じた(リンク先はPDF)。 CMAによる検討などに引き続き協力することで、プロセスを年内に完了し、合意に達すれば2025年初頭から廃止を進める想定という。 Googleは
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く