タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか？ CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していな

2024/10/06 445 users タリーズ リクエスト 外部

タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか？ CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね？ タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security ... 続きを読む

ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita

2024/07/14 419 users ネットワークタブ CTF セキュリティエンジニア Qiita

はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってくだ... 続きを読む

KADOKAWAと任天堂・カプコンがゲーム著作物の利用に関する“包括的許諾契約”を締結。一定の条件を満たせば法人等の団体に所属するクリエイターでも両社のゲームを用いたコンテンツが収

2023/12/01 12 users KADOKAWA 締結 クリエイター 包括的許諾契約 一定

KADOKAWAと任天堂・カプコンがゲーム著作物の利用に関する“包括的許諾契約”を締結。一定の条件を満たせば法人等の団体に所属するクリエイターでも両社のゲームを用いたコンテンツが収益化可能に KADOKAWAは12月1日（金）、同社が提供するサービス「CSP（クリエイターサポートプログラム）」において、日本のゲーム会社で... 続きを読む

Chrome113でHTTPヘッダを上書きしていろんな状態をお試しできる - hogashi.*

2023/05/13 192 users hogashi fetch HTTPヘッダ GitHub 状態

Chrome 113 で、 DevTools の Network ペインで HTTP ヘッダを好きなように編集して、いろんな状態をお試しできるようになっている。 What's New in DevTools (Chrome 113) - Chrome Developers で紹介されている。 GitHub から example.com を fetch してみる GitHub の CSP ヘッダを上書き example.com の CORS のヘッ... 続きを読む

スキルシェアのココナラがVC業に参入、専門家と起業家のマッチングを提供 | TechCrunch Japan

2022/02/09 10 users ココナラ 参入 マッチング TechCrunch JAPAN

スキルマーケット「ココナラ」などを提供するココナラは2月9日、同社全額出資により新会社のココナラスキルパートナーズ（以下、CSP）を設立し、ベンチャーキャピタル事業を開始すると発表した。 CSPには、スキルのマッチングを手がけてきたココナラならではの特徴がある。それは、通常のVCのように投資先に対して資金を... 続きを読む

Feature PolicyおよびFeature unsized-mediaの導入ガイド - 銀色うつ時間

2019/06/05 10 users 銀色うつ時間 構文 導入ガイド API テクノロジー

個人的に注目している Feature Policy というWeb標準のテクノロジーと、Feature Policyの中で課せられるルールのうちの1つ、 unsized-media について。 Feature-Policy Feature Policyは、ブラウザ内の機能やAPIの使用可否を開発者に提供する機能。Content Security Policy (CSP)と構文は似ているが、CSPはセキュリティ... 続きを読む

2019-04-23のJS: Svelte 3(Change Everything)、GoogleでのCSP(Content Security Policy)導入ステップ - JSer.info

2019/04/23 8 users changelog Everything 構文 API

JSer.info #432 - コンパイル前提のUIコンポーネントフレームワークであるSvelte 3リリースされました。 Svelte 3: Rethinking reactivity 3.0.0のCHANGELOGには"Everything"として書かれていませんが、 今までの仕組みを大幅に書き換えたバージョンとなっています。 テンプレートの構文、コンポーネントで利用できるAPI... 続きを読む

Googleのハイブリッドクラウドプラットフォームがベータ版へ | TechCrunch Japan

2019/02/21 6 users ベータ版 TechCrunch JAPAN Google

昨年7月に開催された、Cloud NextカンファレンスでGoogleはCloud Services Platform（CSP）を発表した。CSPはGoogle自身のクラウドサービスをマネージドサービスとしてエンタープライズデータセンターに持ち込むための、真の第一歩である。本日（米国時間2月20日）CSPはベータ版が公開された。 なおCSPは、少なくとも当... 続きを読む

GitHub - nico3333fr/CSP-useful: Collection of scripts, thoughts about CSP (Content Security Policy)

2018/10/21 6 users GitHub resources I'm

CSP useful, a collection of scripts, thoughts about CSP I'm testing and using CSP (Content Security Policy), and here are some thoughts, resources, scripts and ideas on it. Scripts Report-URI folder In folder "report-uri", you may find examples of CSP parsers you can use for report-uri. csp-parse... 続きを読む

Rails 5.2.0 FINAL: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials | Riding Rails

2018/04/09 84 users credentials http FINAL

Nearly 14 years since the first public version of Rails , it’s our pleasure to release yet another major upgrade to the framework in the form of 5.2.0 final. We’ve been diligently polishing Active Sto... 続きを読む

Rails 5.2.0 RC2: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials | Riding Rails

2018/03/20 31 users credentials http Riding Rails

It’s almost time for RailsConf , and we’re determined to get the final version of Rails 5.2 released before then. So here’s the hopefully last release candidate before that can happen. We’ve put a ton... 続きを読む

Rails 5.2: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials | Riding Rails

2017/11/27 105 users credentials http Riding Rails

It’s been too hard to deal with file uploads in Rails for too long. Sure, there’s been a lot of fine plugins available, but it was overdue that we incorporated something right into the framework. So n... 続きを読む

CSP Report 収集と実レポートの考察 | blog.jxck.io

2017/02/13 47 users jxck.io 考察 収集 INTRO security

created_at: 2017-02-13 updated_at: 2017-02-14 tags: [ csp , security ] Intro このブログで CSP レポートの収集を開始してもうすぐ 1 年になる。 現状、対象ドメイン内で <input> は一切提供しておらず、大半が静的に生成されたページであるが、この条件でも、かなり多くのレポートが集まった。 今回は、収集した実際のレポ... 続きを読む

mixed contents 対応を促進する CSP ディレクティブ | blog.jxck.io

2017/01/10 60 users ディレクティブ created_at jxck.io 移行

created_at: 2017-01-10 updated_at: 2017-01-10 tags: [ csp , mixed contents , upgrade-insecure-request , block-all-mixed-contents ] Intro HTTPS 移行の問題点の一つに、 mixed contents への対応がある。 逆に mixed contents の発生... 続きを読む

Go言語の並行性を映像化する | プログラミング | POSTD

2016/02/29 442 users POSTD concurrency ビルトイン Go言語 念頭

Goというプログラミング言語の強みの１つは、Tony Hoare考案のCSPに基づくビルトインの並行性(Concurrency)です。Goは並行性を念頭にデザインされているため、複雑に並行したパイプラインの構築を可能にしています。でも、それぞれの並行性パターンがどのように見えるものなのか気になったことはありませんか。Goというプログラミング言語の強みの１つは、 Tony Hoare考案のCSP に... 続きを読む

AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記

2014/11/17 21 users 葉っぱ日記 Webセキュリティ 未来

AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 続きを読む

そろそろCSP Lv.2 nonceやろう - teppeis blog

2014/11/11 44 users nonce teppeis blog Express 挙動

2014-11-11 そろそろCSP Lv.2 nonceやろう csp security tl;dr CSP Lv.2のnonceを使うと意外と簡単にCSPの恩恵を受けれるよ Firefoxはunsafe-inlineとの挙動がおかしいので注意 サンプル実装としてExpressで簡単にnonce対応できるconnectプラグインを書いた（デモあり） Violation Reportもブラウザによ... 続きを読む

PHPでCSP（Content Security Policy）を導入してXSS対策を強化してみよう — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2014/10/30 47 users Reloaded nonce XSS対策 PHP kenjis

PHPで簡単にCSPを導入するためのライブラリを作成してみました。 kenjis/csp https://github.com/kenjis/php-csp-nonce-source 既存サイトへの影響を最小限にしてCSPが導入できることを目的としています。 基本的にCSP nonce-sourceを使い、nonceのないscriptタグは実行しないようにすることでXSS対策を強化します。 このラ... 続きを読む

Content-Security-Policy と nonce の話 - blog.64p.org

2014/09/25 95 users nonce XSS hasegawayosuke デフォルト

Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コ... 続きを読む

弊社のホームページにContent Security Policy(CSP)を導入しました | HASHコンサルティングオフィシャルブログ

2013/12/05 92 users content スライド はせがわようすけ氏 弊社 以下

2013年12月6日金曜日 弊社のホームページにContent Security Policy(CSP)を導入しました 弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。 具体的には、以下のように指定して使います。 Content... 続きを読む

Firefox、XSS攻撃防止へ　W3Cの仕様に対応 - ITmedia エンタープライズ

2013/06/13 28 users Firefox ITmedia エンタープライズ 仕様 攻撃

Firefoxがクロスサイトスクリプティング（XSS）やデータインジェクションなどの攻撃を防ぐための「Content Security Policy 1.0」をサポートした。 米Mozilla Foundationは6月11日、Webサイト経由の攻撃阻止を目的とした仕様「Content Security Policy（CSP） 1.0」をWebブラウザのFirefoxに実装したと発表した。 CSP... 続きを読む

太陽熱発電の人工島、スイスの湖で建設 « WIRED.jp

2013/04/04 26 users スイス WIRED.jp 太陽熱発電 建設 人工島

2013.4.4 THU 太陽熱発電の人工島、スイスの湖で建設 スイス企業2社が今年、スイスの湖の上に集光型太陽熱発電（CSP）技術をテストする3つの人工島を建設する。 スイスの企業2社が今年、スイス西部にあるヌーシャテル湖にそれぞれ100枚の集光パネルを設置した3つの人工島「ソーラー・アイランド」を建設する。 エネルギー企業Viteos社と太陽光発電専門のNolaris社が提携して建設する人工島... 続きを読む

ChefのrecipeをJenkinsで継続的インテグレーションする方法 | Ryuzee.com

2013/02/27 120 users Jenkins Chef Ryuzee.com recipe

主にアジャイルの話。アジャイルコーチ、認定スクラムプロフェショナル(CSP)、CSM、CSPO。Twitterは@ryuzee 環境構築の自動化のツールとして一番注目されているのがChefです。 Recipeと呼ばれるインストールや設定のためのスクリプトを書いておき、それを使って新しいサーバを速攻で作ったり、Chef Serverを使えば複数のサーバ群に対して環境を一定に保つことが可能です。 Ch... 続きを読む

コマンドラインからDropboxを操作する方法 (+Jenkinsとの連携) | Ryuzee.com

2012/10/21 58 users Jenkins Ryuzee.com コマンドライン CSM

主にアジャイルの話。アジャイルコーチ、認定スクラムプロフェショナル(CSP)、CSM、CSPO。Twitterは@ryuzee 前回のエントリでは、ReVIEWとJenkinsを組み合わせてPDFを自動でビルドする方法について説明しました。今回は更に進んで、ビルドされたPDFをJenkinsサーバから自動でコマンドライン経由でDropboxに保存する方法について説明します。 なお、ここで説明する内... 続きを読む

プロダクトバックログにおけるよくある質問と答え #scrumdo | Ryuzee.com

2012/05/13 40 users ScrumDo Ryuzee.com CSM コンテキスト

主にアジャイルの話。アジャイルコーチ、認定スクラムプロフェショナル(CSP)、CSM、CSPO。Twitterは@ryuzee スクラム道FullBoostで出ていた質問と議論で若干うずうずするところがあったので、好き勝手に答えてみます。 なお、回答はあくまでコーチとしての勝手な見解であり、全てのコンテキストに有効な絶対解では決してありません。そもそも自分達のおかれたコンテキストを踏まえた上で、ど... 続きを読む