Hack Patch!: Trusted Typesの概念と背景

2021/06/12 15 users 概念 背景 Sink 見解 変換

今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全... 続きを読む

Hack Patch!: 投機的なWebの修復

2020/03/03 9 users 修復 web

先日Mozaic.fmでCross Origin Info Leaksについて話しました。 ep63 Cross Origin Info Leaks雑談編（こちらはプラバシーや新しいEdgeなどセキュリティとは関係ない雑談です）ここではMozaicで話した事をまとめてみたいと思います。 スペクターとはなんだったのか何が直ったのか何故ブラウザの問題は残っているのかブラ... 続きを読む

Hack Patch!: ブラウザ セキュリティの近状

2017/12/31 49 users Edge セキュリティ 近状 ブラウザ パク

7月中旬からEdgeのセキュリティの仕事を始めて、各ブラウザごとに面白いセキュリティの対策をしていることを学んだのでまとめてみる。ちなみに、僕が担当しているのはSOPバイパスなどのデザインレベルのバグですが、最近のブラウザ セキュリティで各社アツいのは「メモリ破壊を使った攻撃を設計レベルでどの様に悪用出来なくするか」という点なのでそこをまとめます。専門ではないので広く浅く（笑） Chrome Ch... 続きを読む