News
お知らせ
News
お知らせ
弊社代表取締役、徳丸浩がYouTubeに公式チャンネル『徳丸浩のウェブセキュリティ講座』に動画を新たに公開いたしました。
難易度:★★★☆☆
クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。
本日お伝えしたいこと
・CookieのHttpOnly属性について説明します
・CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します
・スクリプト等
https://github.com/ockeghem/web-sec-study/tree/master/httponly-cookie
動画:クロスサイトスクリプティング(XSS)対策としてCookieのHttpOnly属性でどこまで安全になるのか
難易度:★★★☆☆
20年来のネタではありますが、TCP 80ポートが閉じられているサイトでもCookieのsecure属性は必要です。その理由について詳しく解説します。
本日お伝えしたいこと
・Cookieのsecure属性の必要性
・TCP 80ポートを閉じていればCookieのsecure属性が必要ないという誤解がある
・Cookieのsecure属性は必ず設定しましょう
動画:TCP/IPを理解している人ほど間違いやすい 常時SSLでもCookieのSecure属性が必要な理由
難易度:★★★☆☆
以前、下記のブログで解説したよう常時SSLでもCookieの改変はできてしまいます。その後のブラウザ側の改善はあるものの、Cookieの改変は現在でも十分防げるわけではありません。
後半では、SafariとGoogle Chrome(およびFirefox)の挙動の違いについてデモを交えて詳しく説明します。
本日お伝えしたいこと
・Cookieの盗聴を防ぐためにCookieのSecure属性が重要でした(前回の内容)
・CookieのSecure属性を付与していても、盗聴は防げても、改ざんは防げないことを説明します
・最近のブラウザの対応状況についても解説します
HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
https://blog.tokumaru.org/2013/09/cookie-manipulation-is-possible-even-on-ssl.html
今後もさまざまな情報を公開してまいります。
ぜひご覧ください。
動画の一覧はこちらから
YouTubeチャンネル:『徳丸浩のウェブセキュリティ講座』