èªè¨¼ã—ãªã„Webèªè¨¼ é™å®šå…¬é–‹URLã®ã‚»ã‚ュリティã«ã¤ã„ã¦è€ƒãˆã‚‹ 2020/8/7 API Meetup Online #3- フューãƒãƒ£ãƒ¼æ ªå¼ä¼šç¤¾ 渋å·ã‚ˆã—ã
èªè¨¼ã—ãªã„Webèªè¨¼ é™å®šå…¬é–‹URLã®ã‚»ã‚ュリティã«ã¤ã„ã¦è€ƒãˆã‚‹ 公開版
èªè¨¼ã—ãªã„Webèªè¨¼ é™å®šå…¬é–‹URLã®ã‚»ã‚ュリティã«ã¤ã„ã¦è€ƒãˆã‚‹ 2020/8/7 API Meetup Online #3- フューãƒãƒ£ãƒ¼æ ªå¼ä¼šç¤¾ 渋å·ã‚ˆã—ã
Node.jsã«ãŠã‘るプãƒãƒˆã‚¿ã‚¤ãƒ—汚染攻撃ã¨ã¯ä½•ã‹ - ã¼ã¡ã¼ã¡æ—¥è¨˜
1. ã¯ã˜ã‚㫠最近ã‚ã‘ã‚ã£ã¦Nodeã®ã‚»ã‚ュリティ調査をã—ã¦ã„ã‚‹ã®ã§ã™ãŒã€ä»Šå¹´ã®5月ã«é–‹å‚¬ã•ã‚ŒãŸ North Sec 2018 ã§ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£ç ”ç©¶è€…ã® Olivier Arteau æ°ã«ã‚ˆã‚‹ 「Prototype pollution attacks in NodeJS applicationsã€ã¨ã„ã†é¢ç™½ã„発表を見ã¤ã‘ã¾ã—ãŸã€‚ ã“ã®ç™ºè¡¨ã®è«–文や発表資料ã€ãƒ‡ãƒ¢å‹•ç”»ãªã©ã‚‚githubã§å…¬é–‹ã•ã‚Œã¦ã„ã¾ã™ã—ã€ã¡ã‚‡ã†ã©ã‚¿ã‚¤ãƒŸãƒ³ã‚°ã‚ˆãセッション動画も最近公開ã•ã‚Œã¾ã—ãŸã€‚ github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications ã“ã®ç™ºè¡¨ã§è§£èª¬ã•ã‚Œã¦ã„ã‚‹ã®ã¯ã€æ‚ªæ„ã®ã‚る攻撃者ãŒã€JavaScript言語固有ã®ãƒ—ãƒãƒˆã‚¿ã‚¤ãƒ—ãƒã‚§ãƒ¼ãƒ³ã®æŒ™å‹•ã‚’利用ã—ã¦ã€Webサーãƒã‚’攻撃ã™ã‚‹æ–¹æ³•ã§ã™ã€‚ 発表者ã¯ã€npmã‹ã‚‰ãƒ€
サービスをæä¾›ã™ã‚‹ã«ã‚ãŸã£ã¦å–å¾—ã•ã‚ŒãŸããªã„アカウントåãŒé›†ã¾ã£ã¦ã„るライブラリãŒæ¬²ã—ã„ã‚“ã§ã™ã‘ã©ã€œã¿ãŸã„ãªæ™‚ - ãã®æ‰‹ã®å¹³ã¯å°»ã‚‚ã¤ã‹ã‚ã‚‹ã•
例ãˆã° `logout` ã¿ãŸã„ãªãƒ¦ãƒ¼ã‚¶åã‚’å–å¾—ã•ã‚Œã¦ã—ã¾ã†ã¨ï¼Œãƒ¦ãƒ¼ã‚¶å´ã‹ã‚‰ã™ã‚‹ã¨ä¸æ°—味ã«è¦‹ãˆã‚‹ã—,URLè¨è¨ˆãŒçµ‚了ã—ã¦ã„る時ãªã©ã«è„†å¼±æ€§ã«ãªã‚Šå¾—ã‚‹ (ã¨ã¯è¨€ã†ã‚‚ã®ã®ï¼Œãã‚‚ãã‚‚ãã†ã„ã£ãŸè„†å¼±æ€§ã¯æ ¹æœ¬çš„ã«é˜²ãã¹ãã ã—,URLè¨è¨ˆã‚’終了ã•ã›ã¦ã¯ãªã‚‰ãªã„). ã®ã§ï¼Œã‚¿ã‚¤ãƒˆãƒ«ã®ã‚ˆã†ãªã“ã¨ã‚’postã—ãŸã‚‰çŸ¥è¦‹ãŒãƒ¢ãƒªãƒ¢ãƒªé›†ã¾ã£ã¦ããŸï¼Žã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ï¼Ž å–å¾—ã•ã›ãŸããªã„アカウントåを集ã‚ã¦ã‚るライブラリ欲ã—ã„æ°—ãŒã™ã‚‹ï¼Žauthã¨ã‹logoutã¨ã‹dataã¨ã‹â€¦â€¦â€” アドセンスクリックãŠé¡˜ã„ã—ã¾ã™å¤ªéƒŽ (@moznion) 2017å¹´4月10æ—¥ @moznion 所得ã•ã›ãŸããªã„アカウントåリストãªã‚‰ã“ã†ã„ã†ãƒ¬ãƒã‚¸ãƒˆãƒªãŒã‚ã‚Šã¾ã™ https://t.co/uyYJxaFbrX— kosuge (@9m) 2017å¹´4月10æ—¥ @moznion ã“ã®ãƒªã‚¹ãƒˆã«è¿½åŠ ã§æ—¥æœ¬å‘ã‘ã« regist ã£ã¦ã„ã†ã‚¢ã‚«
サーãƒã®è„†å¼±æ€§ãƒã‚§ãƒƒã‚¯ã§ãã‚‹Vulsã‚’dockerを使ã£ã¦è©¦ã—㟠- tjinjin's blog
世ã®ã‚¤ãƒ³ãƒ•ãƒ©ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã®æ–¹ã€…ã¯ã€ä½•ã‚‰ã‹ã®å½¢ã§åˆ©ç”¨ã—ã¦ã„るソフトウェアã®ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£æƒ…å ±ã‚’æ—¥ã€…ãƒã‚§ãƒƒã‚¯ã—ã¦ã„ã‚‹ã¨æ€ã„ã¾ã™ã€‚ã—ã‹ã—ã€åˆ©ç”¨ã™ã‚‹ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ãŒå¢—ãˆã¦ãã‚‹ã¨å…¨éƒ¨ã®ãƒã‚§ãƒƒã‚¯ã¯ãªã‹ãªã‹é›£ã—ã„ã®ã§ã¯ãªã„ã§ã—ょã†ã‹ã€‚ ãã‚“ãªä¸æœ€è¿‘Amazon InspectorãŒãƒ—レビューã‹ã‚‰ä¸€èˆ¬åˆ©ç”¨é–‹å§‹ã¨ãªã‚Šã€æ³¨ç›®ã•ã‚Œã¦ã„る方もã„ã‚‹ã¨æ€ã„ã¾ã™ã€‚ãã†ã„ã£ãŸãƒ„ールãŒæ§˜ã€…出るä¸ã§ã€æœ€è¿‘Vulsã¨ã„ã†ã‚‚ã®ã‚’知ã£ãŸã®ã§è©¦ã—ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚ Vulsã¨ã¯ Amazon Inspectorã¨ã®é•ã„ go-cve-dictionaryã«ã¤ã„㦠実際ã«ä½¿ã£ã¦ã¿ã‚‹ 検証環境ã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ Vuls server scan対象サーム事å‰æº–å‚™ slack通知を試㙠TUI(Terminal-Based User Interface)を試㙠OSパッケージ以外もãƒã‚§ãƒƒã‚¯ã™ã‚‹ ã¾ã¨ã‚ Vulsã¨ã¯ github.com scan
iframe sandbox ã¯ä¸‡èƒ½ã§ã¯ãªã„ - 葉ã£ã±æ—¥è¨˜
HTML5ã§å°Žå…¥ã•ã‚ŒãŸiframeè¦ç´ ã®sandbox属性ã¯ã€ãã®iframe内ã®ã‚³ãƒ³ãƒ†ãƒ³ãƒ„ã«å¯¾ã—JavaScriptã®å®Ÿè¡Œã‚’始ã‚様々ãªåˆ¶ç´„を課ã™ã“ã¨ã§ã‚»ã‚ュリティã®å‘上ã«å½¹ç«‹ã¤æ©Ÿèƒ½ã§ã‚る。例ãˆã°ã€ä»¥ä¸‹ã®ã‚ˆã†ã«æŒ‡å®šã•ã‚ŒãŸiframeã§ã¯ã€iframe内ã‹ã‚‰formã®submitãªã©ã¯ã§ãã‚‹ãŒã€iframe内ã§ã®JavaScriptã®å®Ÿè¡Œã‚„target=_blankãªã©ã«ã‚ˆã£ã¦ã‚¦ã‚£ãƒ³ãƒ‰ã‚¦ã‚’é–‹ãã“ã¨ãªã©ã¯ç¦æ¢ã•ã‚Œã‚‹ã€‚ <iframe sandbox="allow-forms" src="..."></iframe> sandbox属性ã«æ˜Žç¤ºçš„ã« allow-scripts ã¨ã„ã†å€¤ã‚’指定ã—ãªã„é™ã‚Šã¯iframe内ã§ã¯ç›´æŽ¥çš„ã«ã¯JavaScriptã¯å®Ÿè¡Œã§ããªã„ãŒã€ã‹ã¨ã„ã£ã¦iframe内ã‹ã‚‰é–“接的ã«JavaScriptã‚’å¿…ãšã—も実行ã•ã›ã‚‹ã“ã¨ãŒä¸å¯èƒ½ã‹ã¨ã„ã†ã¨ãã†ã§ã‚‚ãªã„。 sandbox属性
Electronã®webviewè¦ç´ ã§ã¯allowpopups属性をã¤ã‘ã¦ã¯ã„ã‘ãªã„ - 葉ã£ã±æ—¥è¨˜
Electronを使ã£ã¦ãƒ–ラウザã®ã‚ˆã†ãªã‚¢ãƒ—ãƒªã‚±ãƒ¼ã‚·ãƒ§ãƒ³ã‚’ä½œã‚‹å ´åˆã«ã¯ webviewã‚¿ã‚°ãŒä½¿ç”¨ã•ã‚Œã‚‹ã€‚例ãˆã°ã€ã‚¢ãƒ—リケーション内ã«example.jpã®ã‚µã‚¤ãƒˆã‚’表示ã™ã‚‹ã«ã¯ä»¥ä¸‹ã®ã‚ˆã†ã«HTMLã«è¨˜è¿°ã™ã‚‹ã€‚ <webview src="http://example.jp/"></webview> ã“ã“ã§ã€webviewã‚¿ã‚°ã«allowpopups属性を付与ã™ã‚‹ã¨ã€example.jpサイト内ã®ã‚³ãƒ¼ãƒ‰ã‹ã‚‰window.openç‰ã‚’使ã£ã¦æ–°ãŸã«ã‚¦ã‚£ãƒ³ãƒ‰ã‚¦ã‚’é–‹ãã“ã¨ãŒã§ãるよã†ã«ãªã‚‹ã€‚ã“ã®ã¨ãã€example.jpã«æ‚ªæ„ãŒã‚り以下ã®ã‚ˆã†ãªã‚³ãƒ¼ãƒ‰ãŒå«ã¾ã‚Œã¦ã„ã‚‹ã¨ã™ã‚‹ã€‚ if( typeof require === "undefined" ) window.open( 'http://example.jp/', '', 'nodeIntegration=1'); else require( "chi
Electronã§ã‚¢ãƒ—リを書ãå ´åˆã¯ã€æ°—åˆã„ã¨æ ¹æ€§ã§XSSを発生ã•ã›ãªã„よã†ã«ã—ãªã‘ã‚Œã°ãªã‚‰ãªã„。 - 葉ã£ã±æ—¥è¨˜
ãã®ã†ã¡ã‚‚ã†å°‘ã—ãã¡ã‚“ã¨æ›¸ãã¾ã™ãŒã€ã¨ã‚Šã‚ãˆãšæ™‚é–“ãŒãªã„ã®ã§çµè«–ã ã‘書ãã¨ã€ã‚¿ã‚¤ãƒˆãƒ«ãŒå…¨ã¦ã§Electronã§ã‚¢ãƒ—リを書ãå ´åˆã¯æ°—åˆã„ã¨æ ¹æ€§ã§XSSを発生ã•ã›ãªã„よã†ã«ã—ãªã‘ã‚Œã°ãªã‚‰ãªã„。 ã“ã‚Œã¾ã§Webアプリケーション上ã§XSSãŒå˜åœ¨ã—ãŸã¨ã—ã¦ã‚‚ã€å½±éŸ¿ç¯„囲ã¯ãã®Webアプリケーションã®ä¸ã«ç•™ã¾ã‚‹ã®ã§ã€Webアプリケーションã®æä¾›å´ãŒãれを許容ã™ã‚‹ã®ã§ã‚ã‚Œã°XSSã®å˜åœ¨ã«ç›®ã‚’ã¤ã‚€ã‚‹ã“ã¨ã‚‚ã§ããŸã€‚ã—ã‹ã—ã€Electronアプリã§DOM-based XSSãŒä¸€ã‹æ‰€ã§ã‚‚発生ã™ã‚‹ã¨ã€(ãŠãらã)確実ã«ä»»æ„コード実行ã¸ã¨ã¤ãªãŒã‚Šã€åˆ©ç”¨è€…ã®PCã®(ãã®ãƒ¦ãƒ¼ã‚¶ãƒ¼æ¨©é™ã§ã®)全機能ãŒæ”»æ’ƒè€…ã«ã‚ˆã£ã¦åˆ©ç”¨ã§ãる。 ãã®ãŸã‚ã€Electronã§ã‚¢ãƒ—リケーションを作æˆã™ã‚‹é–‹ç™ºè€…ã¯æ°—åˆã„ã¨æ ¹æ€§ã§XSSを完全ã«ã¤ã¶ã•ãªã‘ã‚Œã°ãªã‚‰ãªã„。 nodeIntegration:falseã‚„Content-Security-Pol
JS自動レビューツール"jswatchdog"を公開ã—ã¾ã—㟠- Cybozu Inside Out | サイボウズエンジニアã®ãƒ–ãƒã‚°
ã“ã‚“ã«ã¡ã¯ã€‚kintone 開発ãƒãƒ¼ãƒ ã®å¤©é‡Ž (@ama_ch) ã§ã™ã€‚ã™ã£ã‹ã‚Šæ˜¥ã‚‰ã—ããªã‚Šã¾ã—ãŸã。 å°‘ã—å‰ã« JS ã®è‡ªå‹•ãƒ¬ãƒ“ューツール jswatchdog をオープンソースã§å…¬é–‹ã—ã¾ã—ãŸã®ã§ã€ã“ã¡ã‚‰ã§ç´¹ä»‹ã•ã›ã¦ã„ãŸã ãã¾ã™ã€‚ 使ã„æ–¹ https://kintone.github.io/jswatchdog/ 上記㮠URL ã‚’é–‹ãã€å·¦å´ã®ã‚¨ãƒ‡ã‚£ã‚¿ã« JS コードを貼り付ã‘ã‚‹ã ã‘ã§ã™ã€‚ å³å´ã«ä¿®æ£ãŒå¿…è¦ãªç®‡æ‰€ãŒè¡¨ç¤ºã•ã‚Œã‚‹ã®ã§ã€é©å®œä¿®æ£ã—ã¾ã™ã€‚ 特徴 ãƒãƒªãƒãƒªã®é–‹ç™ºè€…ã˜ã‚ƒãªãã¦ã‚‚使ã„ã‚„ã™ã„一画é¢å®Œçµã® Web インターフェース lint ツールã§ãŠé¦´æŸ“ã¿ã®æ§‹æ–‡ãƒã‚§ãƒƒã‚¯ã®ä»–ã€çŸ¥ã‚‰ãšã«è„†å¼±æ€§ã‚’作り込むã“ã¨ã‚’é¿ã‘ã‚‹ãŸã‚ã€XSS ã®å¯èƒ½æ€§ãŒã‚る箇所ã«ã‚‚è¦å‘Šã‚’表示 内部的ã«ã¯ã€JS ã®é™çš„構文ãƒã‚§ãƒƒã‚¯ãƒ„ールã¨ã—㦠ESLint 㨠JSHint を組ã¿è¾¼ã‚“ã§ã„ã¾ã™ã€‚ ã•ã‚‰ã« XSS ã®å¯èƒ½æ€§ãŒã‚
ラックã®æ‰±ã‚れ方ã«è¦‹ã‚‹è„†å¼±æ€§èª¿æŸ»ã®ã‚ã‚Šæ–¹ | クãƒã‚¹ã‚¸ãƒ¼ãƒ«
SQLインジェクション判決ãŒåºƒã¾ã‚Šã‚’見ã›ã¦ã„ã¾ã™ 先日ã€ä»¥ä¸‹ã®è¨˜äº‹ã‚’書ãã¾ã—ãŸã€‚ ・SQLインジェクション脆弱性ã®æœ‰ç„¡ãŒé‡éŽå¤±ã®åˆ¤æ–ã«å½±éŸ¿ã‚’与ãˆãŸåˆ¤æ±º http://www.crosszeal.co.jp/blog/20150209_sqlインジェクション脆弱性ã®æœ‰ç„¡ãŒé‡éŽå¤±ã®åˆ¤æ–ã«å½±éŸ¿ã‚’与ãˆãŸåˆ¤æ±º.html ã“ã®è¨˜äº‹ã«ã‚‚書ã„ãŸã¨ãŠã‚Šã€åŒ—æµ·é“大å¦ã®ç”ºæ‘先生ã€HASHコンサルティングã®å¾³ä¸¸å…ˆç”Ÿã®ã‚¨ãƒ³ãƒˆãƒªã§ã“ã®ä»¶ã‚’知りブãƒã‚°ã‚’書ã„ãŸã‚ã‘ã§ã™ãŒã€åŒã˜æ–¹ã€…も多ã„よã†ã§ã€ã“ã®åˆ¤æ±ºã«é–¢ã™ã‚‹æƒ…å ±ã‚„æ„見ãŒæ¤œç´¢ã§å¤šãヒットã™ã‚‹ã‚ˆã†ã«ãªã‚Šã¾ã—ãŸã€‚ ä¸ã«ã¯ã€Œè„†å¼±æ€§ãŒä¸€ã¤ã§ã‚‚ã‚ã£ãŸã‚‰æå®³è³ å„ŸãŒèªã‚られるã€ã¨ã„ã£ãŸèª¤ã£ã¦ã„ã‚‹èªè˜ã§ã‚ã£ãŸã‚Šã€ã€ŒSQLインジェクション対ç–ã‚’ã—ãŸã‚‰è²»ç”¨ãŒå¤šãã‹ã‹ã£ã¦ã—ã¾ã†ã€ã¨ã„ã£ãŸé¦–ã‚’ã‹ã—ã’ã‚‹æ„見もã‚ã‚Šã¾ã™ãŒã€ã“ã†ã„ã£ãŸæƒ…å ±ãŒåºƒã¾ã‚‹ã®ã¯è‰¯ã„ã“ã¨ã ã¨æ€ã„ã¾ã™ã€‚今後広ã¾ã£ã¦ã„ãä¸ã§ã€æ£ã—ã„èª
WebRTC is secure,� or not secure? - WebRTC ã‚»ã‚ュリティ概説 -
WebRTC is secure,� or not secure? - WebRTC ã‚»ã‚ュリティ概説 -
SQLインジェクション対ç–ã‚‚ã‚Œã®è²¬ä»»ã‚’開発会社ã«å•ã†åˆ¤æ±º
ãƒã‚¤ãƒ³ãƒˆã¯ä¸‹è¨˜ã®é€šã‚Šã§ã™ã€‚ X社(原告)ã¯ã‚»ã‚ュリティ対ç–ã«ã¤ã„ã¦ç‰¹ã«æŒ‡ç¤ºã¯ã—ã¦ã„ãªã‹ã£ãŸ æå®³è³ å„Ÿã«ã¤ã„ã¦å€‹åˆ¥å¥‘ç´„ã«å®šã‚る契約金é¡ã®ç¯„囲内ã¨ã™ã‚‹æå®³è³ å„Ÿè²¬ä»»åˆ¶é™ãŒã‚ã£ãŸ 当åˆã‚·ã‚¹ãƒ†ãƒ ã¯ã‚«ãƒ¼ãƒ‰æ±ºæ¸ˆã‚’外部委託ã—ç›´æŽ¥ã‚«ãƒ¼ãƒ‰æƒ…å ±ã‚’æ‰±ã£ã¦ã„ãªã‹ã£ãŸ X社ãŒã€Œã‚«ãƒ¼ãƒ‰ä¼šç¤¾æ¯Žã®æ±ºæ¸ˆé‡‘é¡ã‚’知りãŸã„ã€ã¨Y社ã«ä¾é ¼ã‚’ã—ã¦ã€ãã®çµæžœã‚«ãƒ¼ãƒ‰æƒ…å ±ã‚’ã„ã£ãŸã‚“DBã«ä¿å˜ã™ã‚‹ä»•æ§˜ã¨ãªã£ãŸï¼ˆ2010å¹´1月29日) X社ã‹ã‚‰ã®å•ã„åˆã‚ã›ã«å¯¾ã—ã¦Y社ã¯ã€ã‚«ãƒ¼ãƒ‰æƒ…å ±ã‚’ä¿æŒã—ãªã„æ–¹å¼ã«å¤‰æ›´ã™ã‚‹ã“ã¨ãŒå¯èƒ½ã§ã€ãã®ã»ã†ãŒå®‰å…¨ã¨ãªã‚Šã€è²»ç”¨ã¯20万円程度ã§ã‚る旨をä¼ãˆãŸï¼ˆ2010å¹´9月27日)ãŒã€ãã®å¾ŒX社ã¯æ”¹è‰¯ã®æŒ‡ç¤ºã‚’ã—ãªã‹ã£ãŸ 以下ã®è„†å¼±æ€§ãã®ä»–ãŒèªã‚られ㟠システム管ç†æ©Ÿèƒ½ã®IDã¨ãƒ‘スワード㌠admin/password ã§ã‚ã£ãŸ å€‹äººæƒ…å ±ãŒè¨˜è¼‰ã•ã‚ŒãŸãŠå•ã„åˆã‚ã›ãƒã‚°ãƒ•ã‚¡ã‚¤ãƒ«ã®é–²è¦§ãŒå¯èƒ½ï¼ˆãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒªã‚¹ãƒ†ã‚£ãƒ³ã‚°ã¨æ„図ã—ãªã„ファイ
Content-Security-Policy 㨠nonce ã®è©± - tokuhirom's blog
Content-Security-Policy ã® nonce を利用ã™ã‚‹ã¨ã€XSS ã®è„…å¨ã‚’ã‹ãªã‚Šè»½æ¸›ã§ãã¾ã™ã€‚ ãã“ã§ã€Web Application Framework ã§ã¯ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§å¯¾å¿œã—ãŸã»ã†ãŒã‚ˆã„ã®ã§ã¯ãªã„ã‹ã€ã¨ã„ã†æ—¨ã‚’ @hasegawayosuke ã•ã‚“ã‹ã‚‰æ•™ãˆã¦é ‚ã„ãŸã®ã§ã€å®Ÿè£…ã«ã¤ã„ã¦è€ƒãˆã¦ã¿ã¾ã—ãŸã€‚ ã¨ã‚Šã‚ãˆãš CSP ã® nonce ã¯ã©ã†ã„ã†ã‚‚ã®ãªã®ã‹ã‚’考慮ã™ã‚‹ãŸã‚ã«ã€ã‚³ãƒ¼ãƒ‰ä¾‹ã‚’探ã—ã¦ã„ãŸã®ã§ã™ãŒã€å®Ÿéš›ã«å‹•ãサンプルã¨ã„ã†ã‚‚ã®ãŒ nonce 関連ã®ã‚‚ã®ã§è¦‹å½“ãŸã‚Šã¾ã›ã‚“ã§ã—ãŸã€‚ ãã“ã§ã€å®Ÿéš›ã«å‹•ãサンプルを用æ„ã—ã¾ã—ãŸã€‚ https://github.com/tokuhirom/csp-nonce-sample 以下㯠Sinatra ã§æ›¸ã‹ã‚ŒãŸã‚µãƒ³ãƒ—ルコードã§ã™ã€‚ require 'sinatra' require 'securerandom' get '/' d
製å“æƒ…å ±
扉 事務所やマンションã€æˆ¸å»ºã¦ã®çŽ„関扉ã«è£…ç€ã™ã‚‹è£½å“ã§ã™ã€‚ 先進ã®é›»å制御技術を駆使ã—ãŸå„ªã‚ŒãŸã‚»ã‚ュリティ環境をã€å®‰ä¾¡ã«å°Žå…¥å¯èƒ½ã§ã™ã€‚
我々ã¯ã©ã®ã‚ˆã†ã«ã—ã¦å®‰å…¨ãªHTTPS通信をæä¾›ã™ã‚Œã°è‰¯ã„ã‹ - Qiita
Modern Ciphersuite: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES1
ã‚ャッシュãƒã‚¤ã‚ºãƒ‹ãƒ³ã‚°ã®é–‹ã„ãŸãƒ‘ンドラã®ç®±
ã‚ャッシュãƒã‚¤ã‚ºãƒ‹ãƒ³ã‚°ã®é–‹ã„ãŸãƒ‘ンドラã®ç®± Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by å‰é‡Žå¹´ç´€ 2014.02) / English version 背景 Kaminsky 2008å¹´ã€Dan Kaminsky æ°ãŒ TTL ã«å½±éŸ¿ã•ã‚Œãªã„毒入れ手法を発表ã—ãŸã€‚ ã—ã‹ã—ã€å½å¿œç”ã®Additional Section ã§æ¯’ãŒå…¥ã‚‹ã¨ã•ã‚ŒãŸã®ã¯èª¤ã‚Šã ã£ãŸã“ã¨ã‚’2011å¹´ã«éˆ´æœ¨ãŒæ˜Žã‹ã«ã—ãŸã€‚ http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller ã® "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
50,000 ドルã®ä¾¡å€¤ãŒã‚ã‚‹ Twitter アカウントãŒç›—ã¾ã‚ŒãŸãã®çµŒç·¯ : ã«ã½ãŸã‚“ç ”ç©¶æ‰€
ã²ã‚ã—ã¾ã•ã‚“ (廣島ã•ã‚“) ã¯ã€ã“ã‚Œã¾ã§ãŸã£ãŸ 1 æ–‡å—ã® Twitter アカウント @N ã‚’æŒã£ã¦ã„ã¾ã—ãŸã€‚ 何故「æŒã£ã¦ã„ã¾ã—ãŸã€ã¨ã€éŽåŽ»å½¢ãªã®ã‹ã¨ã„ã†ã¨ã€ã©ã†ã‚„ら先日ã€å·§å¦™ãªç½ ã«ã€æœ¬äººã§ã¯ãªã 2 社ã®æœ‰å IT 関連ä¼æ¥ãŒãƒãƒ¡ã‚‰ã‚ŒãŸã“ã¨ã«ã‚ˆã£ã¦ã€ã²ã‚ã—ã¾ã•ã‚“ã®ç¨€å°‘ãªãã®ã‚¢ã‚«ã‚¦ãƒ³ãƒˆãŒç¬¬ä¸‰è€…ã«ã‚ˆã£ã¦ç›—ã¾ã‚Œã¦ã—ã¾ã£ãŸãã†ãªã®ã§ã™ã€‚ 2014/02/26 追記: 記事掲載時点ã§ã¯ã€ŒæŒã£ã¦ã„ã¾ã—ãŸã€ã¨éŽåŽ»å½¢ã§è¡¨ç¾ã—ã¦ã„ã¾ã™ãŒã€ã²ã‚ã—ã¾ã•ã‚“本人ã«ã‚ˆã‚‹ãƒ„イートã§ã€2014/02/25 ã®æ˜¼éŽãŽ (日本時間 2014/02/26 ã®æ—©æœ) ã«ã€ã“ã®äº‹ä»¶ã«ã‚ˆã£ã¦ç›—ã¾ã‚Œã¦ã—ã¾ã£ãŸã‚¢ã‚«ã‚¦ãƒ³ãƒˆ @N ãŒã‚ˆã†ã‚„ãå–り戻ã•ã‚ŒãŸã“ã¨ãŒã‚ã‹ã‚Šã¾ã—ãŸã€‚ Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決ã¾ã§ä¸€ãƒ¶æœˆä»¥ä¸Šã¨ã„ã†ç›¸å½“ãª
IE9以é™ã§ã‚‚HTMLフォームã§ãƒ•ã‚¡ã‚¤ãƒ«åã¨ãƒ•ã‚¡ã‚¤ãƒ«ã®ä¸èº«ã‚’外部ã‹ã‚‰æŒ‡å®šã§ãã‚‹
昨日ã®æ—¥è¨˜ã€ŒIE8以å‰ã¯HTMLフォームã§ãƒ•ã‚¡ã‚¤ãƒ«åã¨ãƒ•ã‚¡ã‚¤ãƒ«ã®ä¸èº«ã‚’外部ã‹ã‚‰æŒ‡å®šã§ãã‚‹ã€ã«ã¦ã€ç¦æ£®å¤§å–œã•ã‚“ã‹ã‚‰æ•™ãˆã¦ã„ãŸã ã„ãŸå†…容ã¨ã—ã¦ã€ãƒ•ã‚¡ã‚¤ãƒ«ã‚¢ãƒƒãƒ—ãƒãƒ¼ãƒ‰ã®HTMLフォーム(enctype="multipart/form-data")ã«ã¦ã€ã‚¢ãƒƒãƒ—ãƒãƒ¼ãƒ‰ã™ã‚‹ãƒ•ã‚¡ã‚¤ãƒ«åã¨ãƒ•ã‚¡ã‚¤ãƒ«ã®ä¸èº«ã‚’外部ã‹ã‚‰æŒ‡å®šã§ãã‚‹ã“ã¨ã‚’å ±å‘Šã—ã¾ã—ãŸã€‚ã“ã®éš›ã«IE8以å‰ã¨ã„ã†æ¡ä»¶ãŒã‚ã‚Šã¾ã—ãŸãŒã€ä»Šåº¦ã¯ã€ä¸‰äº•ç‰©ç”£ã‚»ã‚ュアディレクションã®æœ›æœˆå²³ã•ã‚“ã‹ã‚‰ã€ã€Œãã‚ŒIE9以é™ã§ã‚‚ã§ãるよã€ã¨æ•™ãˆã¦ã„ãŸã ãã¾ã—ãŸã€‚æ—¢ã«ã”å˜ã˜ã ã£ãŸãã†ã§ã™ã€‚ç¦æ£®ã•ã‚“ã€æœ›æœˆã•ã‚“ã¨ã„ã†æ—¥æœ¬ã‚’代表ã™ã‚‹ãƒã‚°ãƒãƒ³ã‚¿ãƒ¼ã‹ã‚‰ã€Œç§˜ä¼ã®ãŸã‚Œã€ã‚’ãŠã™ãã‚ã‘ã„ãŸã ã„ãŸã‚ˆã†ã§ã€èˆˆå¥®æ°—味ã§ã™w ã¾ãšã€ãŠã•ã‚‰ã„ã¨ã—ã¦ã€IE8以å‰ã§ã®ãƒ‘ターンã¯ä¸‹è¨˜ã®é€šã‚Šã§ã—ãŸï¼ˆè¦ç‚¹ã®ã¿ï¼‰ã€‚ <form enctype="multipart/form-data" action="pro_ad
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
ã‚¯ãƒ©ã‚¦ãƒ‰ç ´ç”£ã—ãªã„よã†ã« git-secrets を使ㆠ- Qiita
GitHub - awslabs/git-secrets: Prevents you from committing secrets and credentials into git repositories
3må…ˆã‹ã‚‰æ’®ã£ãŸè¦ªæŒ‡ã®å†™çœŸã‹ã‚‰ã€æŒ‡ç´‹ã®è¤‡è£½ã«æˆåŠŸ
{{#tags}}- {{label}}
{{/tags}}