最近Mozillaが売り出している Content Security Policy (CSP) について調べてみた。 ここにある概要がわかりやすい。細かい仕様は ここにある。CSPはXSS攻撃を防ぐためのブラウザ上の仕組み。Webページごとのポリシーを Webサーバが指示し、ブラウザはその指…

Hristo Bojinov, Elie Bursztein, and Dan Boneh, XCS: Cross Channel Scripting and its Impact on Web Applications, ACM CCS 2009.WebとWeb以外のチャネルにまたがってスクリプトインジェクト攻撃を行うものを XCS と呼び、攻撃手法の分類と、この攻撃へ…

Wang, H. J.; Grier, C.; Moshchuk, A.; King, S. T.; Choudhury, P. & Venter, H, The Multi-Principal OS Construction of the Gazelle Web Browser, pp.417-432, Usenix Security Symposium 2009.Microsoftの Helen Wang らによって最近発表された、新し…

IEEE Symposium on Security and Privacy (Oakland) 2009で発表された論文を読んでみた。 CLAMP: Practical Prevention of Large-Scale Data Leaks, by Bryan Parno, Jonathan M. McCune, Dan Wendlandt, David G. Andersen, and Adrian Perrig SQLインジェ…

マッシュアップとかウィジェットなどが流行ってますが、安易に行うと、セキュリティ上の危険があります。OpenAjax Hub という業界標準技術を使って安全にウィジェットのマッシュアップを行う方法の解説記事を書きました。企業システムでも使われるウィジェッ…