タグ CSP
新着順 10 users 50 users 100 users 500 users 1000 usersタリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していな
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security ... 続きを読む
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってくだ... 続きを読む
KADOKAWAと任天堂・カプコンがゲーム著作物の利用に関する“包括的許諾契約”を締結。一定の条件を満たせば法人等の団体に所属するクリエイターでも両社のゲームを用いたコンテンツが収
KADOKAWAと任天堂・カプコンがゲーム著作物の利用に関する“包括的許諾契約”を締結。一定の条件を満たせば法人等の団体に所属するクリエイターでも両社のゲームを用いたコンテンツが収益化可能に KADOKAWAは12月1日(金)、同社が提供するサービス「CSP(クリエイターサポートプログラム)」において、日本のゲーム会社で... 続きを読む
Chrome113でHTTPヘッダを上書きしていろんな状態をお試しできる - hogashi.*
Chrome 113 で、 DevTools の Network ペインで HTTP ヘッダを好きなように編集して、いろんな状態をお試しできるようになっている。 What's New in DevTools (Chrome 113) - Chrome Developers で紹介されている。 GitHub から example.com を fetch してみる GitHub の CSP ヘッダを上書き example.com の CORS のヘッ... 続きを読む
スキルシェアのココナラがVC業に参入、専門家と起業家のマッチングを提供 | TechCrunch Japan
スキルマーケット「ココナラ」などを提供するココナラは2月9日、同社全額出資により新会社のココナラスキルパートナーズ(以下、CSP)を設立し、ベンチャーキャピタル事業を開始すると発表した。 CSPには、スキルのマッチングを手がけてきたココナラならではの特徴がある。それは、通常のVCのように投資先に対して資金を... 続きを読む
Feature PolicyおよびFeature unsized-mediaの導入ガイド - 銀色うつ時間
個人的に注目している Feature Policy というWeb標準のテクノロジーと、Feature Policyの中で課せられるルールのうちの1つ、 unsized-media について。 Feature-Policy Feature Policyは、ブラウザ内の機能やAPIの使用可否を開発者に提供する機能。Content Security Policy (CSP)と構文は似ているが、CSPはセキュリティ... 続きを読む
2019-04-23のJS: Svelte 3(Change Everything)、GoogleでのCSP(Content Security Policy)導入ステップ - JSer.info
JSer.info #432 - コンパイル前提のUIコンポーネントフレームワークであるSvelte 3リリースされました。 Svelte 3: Rethinking reactivity 3.0.0のCHANGELOGには"Everything"として書かれていませんが、 今までの仕組みを大幅に書き換えたバージョンとなっています。 テンプレートの構文、コンポーネントで利用できるAPI... 続きを読む
Googleのハイブリッドクラウドプラットフォームがベータ版へ | TechCrunch Japan
昨年7月に開催された、Cloud NextカンファレンスでGoogleはCloud Services Platform(CSP)を発表した。CSPはGoogle自身のクラウドサービスをマネージドサービスとしてエンタープライズデータセンターに持ち込むための、真の第一歩である。本日(米国時間2月20日)CSPはベータ版が公開された。 なおCSPは、少なくとも当... 続きを読む
GitHub - nico3333fr/CSP-useful: Collection of scripts, thoughts about CSP (Content Security Policy)
CSP useful, a collection of scripts, thoughts about CSP I'm testing and using CSP (Content Security Policy), and here are some thoughts, resources, scripts and ideas on it. Scripts Report-URI folder In folder "report-uri", you may find examples of CSP parsers you can use for report-uri. csp-parse... 続きを読む
Rails 5.2.0 FINAL: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials | Riding Rails
Nearly 14 years since the first public version of Rails , it’s our pleasure to release yet another major upgrade to the framework in the form of 5.2.0 final. We’ve been diligently polishing Active Sto... 続きを読む
Rails 5.2.0 RC2: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials | Riding Rails
It’s almost time for RailsConf , and we’re determined to get the final version of Rails 5.2 released before then. So here’s the hopefully last release candidate before that can happen. We’ve put a ton... 続きを読む
Rails 5.2: Active Storage, Redis Cache Store, HTTP/2 Early Hints, CSP, Credentials | Riding Rails
It’s been too hard to deal with file uploads in Rails for too long. Sure, there’s been a lot of fine plugins available, but it was overdue that we incorporated something right into the framework. So n... 続きを読む
CSP Report 収集と実レポートの考察 | blog.jxck.io
created_at: 2017-02-13 updated_at: 2017-02-14 tags: [ csp , security ] Intro このブログで CSP レポートの収集を開始してもうすぐ 1 年になる。 現状、対象ドメイン内で <input> は一切提供しておらず、大半が静的に生成されたページであるが、この条件でも、かなり多くのレポートが集まった。 今回は、収集した実際のレポ... 続きを読む
mixed contents 対応を促進する CSP ディレクティブ | blog.jxck.io
created_at: 2017-01-10 updated_at: 2017-01-10 tags: [ csp , mixed contents , upgrade-insecure-request , block-all-mixed-contents ] Intro HTTPS 移行の問題点の一つに、 mixed contents への対応がある。 逆に mixed contents の発生... 続きを読む
Go言語の並行性を映像化する | プログラミング | POSTD
Goというプログラミング言語の強みの1つは、Tony Hoare考案のCSPに基づくビルトインの並行性(Concurrency)です。Goは並行性を念頭にデザインされているため、複雑に並行したパイプラインの構築を可能にしています。でも、それぞれの並行性パターンがどのように見えるものなのか気になったことはありませんか。Goというプログラミング言語の強みの1つは、 Tony Hoare考案のCSP に... 続きを読む
AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記
AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 続きを読む
そろそろCSP Lv.2 nonceやろう - teppeis blog
2014-11-11 そろそろCSP Lv.2 nonceやろう csp security tl;dr CSP Lv.2のnonceを使うと意外と簡単にCSPの恩恵を受けれるよ Firefoxはunsafe-inlineとの挙動がおかしいので注意 サンプル実装としてExpressで簡単にnonce対応できるconnectプラグインを書いた(デモあり) Violation Reportもブラウザによ... 続きを読む
PHPでCSP(Content Security Policy)を導入してXSS対策を強化してみよう — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something
PHPで簡単にCSPを導入するためのライブラリを作成してみました。 kenjis/csp https://github.com/kenjis/php-csp-nonce-source 既存サイトへの影響を最小限にしてCSPが導入できることを目的としています。 基本的にCSP nonce-sourceを使い、nonceのないscriptタグは実行しないようにすることでXSS対策を強化します。 このラ... 続きを読む
Content-Security-Policy と nonce の話 - blog.64p.org
Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コ... 続きを読む
弊社のホームページにContent Security Policy(CSP)を導入しました | HASHコンサルティングオフィシャルブログ
2013年12月6日金曜日 弊社のホームページにContent Security Policy(CSP)を導入しました 弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。 具体的には、以下のように指定して使います。 Content... 続きを読む
Firefox、XSS攻撃防止へ W3Cの仕様に対応 - ITmedia エンタープライズ
Firefoxがクロスサイトスクリプティング(XSS)やデータインジェクションなどの攻撃を防ぐための「Content Security Policy 1.0」をサポートした。 米Mozilla Foundationは6月11日、Webサイト経由の攻撃阻止を目的とした仕様「Content Security Policy(CSP) 1.0」をWebブラウザのFirefoxに実装したと発表した。 CSP... 続きを読む
太陽熱発電の人工島、スイスの湖で建設 « WIRED.jp
2013.4.4 THU 太陽熱発電の人工島、スイスの湖で建設 スイス企業2社が今年、スイスの湖の上に集光型太陽熱発電(CSP)技術をテストする3つの人工島を建設する。 スイスの企業2社が今年、スイス西部にあるヌーシャテル湖にそれぞれ100枚の集光パネルを設置した3つの人工島「ソーラー・アイランド」を建設する。 エネルギー企業Viteos社と太陽光発電専門のNolaris社が提携して建設する人工島... 続きを読む
ChefのrecipeをJenkinsで継続的インテグレーションする方法 | Ryuzee.com
主にアジャイルの話。アジャイルコーチ、認定スクラムプロフェショナル(CSP)、CSM、CSPO。Twitterは@ryuzee 環境構築の自動化のツールとして一番注目されているのがChefです。 Recipeと呼ばれるインストールや設定のためのスクリプトを書いておき、それを使って新しいサーバを速攻で作ったり、Chef Serverを使えば複数のサーバ群に対して環境を一定に保つことが可能です。 Ch... 続きを読む
コマンドラインからDropboxを操作する方法 (+Jenkinsとの連携) | Ryuzee.com
主にアジャイルの話。アジャイルコーチ、認定スクラムプロフェショナル(CSP)、CSM、CSPO。Twitterは@ryuzee 前回のエントリでは、ReVIEWとJenkinsを組み合わせてPDFを自動でビルドする方法について説明しました。今回は更に進んで、ビルドされたPDFをJenkinsサーバから自動でコマンドライン経由でDropboxに保存する方法について説明します。 なお、ここで説明する内... 続きを読む
プロダクトバックログにおけるよくある質問と答え #scrumdo | Ryuzee.com
主にアジャイルの話。アジャイルコーチ、認定スクラムプロフェショナル(CSP)、CSM、CSPO。Twitterは@ryuzee スクラム道FullBoostで出ていた質問と議論で若干うずうずするところがあったので、好き勝手に答えてみます。 なお、回答はあくまでコーチとしての勝手な見解であり、全てのコンテキストに有効な絶対解では決してありません。そもそも自分達のおかれたコンテキストを踏まえた上で、ど... 続きを読む