押さえておきたいIE8のセキュリティ新機能

Slides:

Advertisements

Similar presentations

HTML5時代の Webセキュリティ Jul Yosuke HASEGAWA. NetAgent security-mikan techtalk #5 自己紹介はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー.

Advertisements

Jun Yosuke HASEGAWA. NetAgent OWASP Japan Local Chapter Meeting #6 自己紹介はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー.

JavaScript における DOM 操作 XML 読み込み Ajax( 動的 HTML 編集 ) 情報システム工学科ラシキアゼミ３年 H １０７０７２田中直樹.

位置情報と私木村岳文 / 位置情報と私 / はじめに GPS 付き携帯、ハンディ GPS などを使って、お手軽に自分が地球上のどこにいるかを調べられるようになってきました。このデータをつかって何かおもしろいことができそうな予感。具体的にどうしたらおもしろいかはよく.

Copyright © Ariel Networks, Inc. AJAX 勉強会アリエル・ネットワーク株式会社.

Nov Yosuke HASEGAWA #owaspjapan. OWASP Japan Local Chapter Meeting #8 #owaspjapan 自己紹介はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー技術顧問  Microsoft.

1 安全性の高いセッション管理方式の Servlet への導入東京工業大学理学部千葉研究室所属９９－２２７０－６松沼正浩.

TCP ／ IP の基礎ネットワーク管理者入門. インターネットを支える技術 ISO の 7 階層プロトコルと TCP ／ IP の実装階層機能関連する TCP ／ IP プロトコルアプリケーション層電子メールやファイルの転送といった、具体的なアプリケーションが使用する規約 TELNET.

1 なんとなく Ajax ～新しくて古い XMLHttp 川合孝典 (Kansai.pm) 2005/5/22.

DB(データベース)のおはなし作成者：小野正広 DBと言っても、　ドラゴンボールではないですぞ！ 3/1/2017.

北海道大学大学院理学院宇宙理学専攻 EPNetFaN Mail サーバ管理課徳永義哉

ブラウザの基本操作前のページに戻るブラウザの左上にある「戻る」ボタンで、自分がたどってきた一つ前のページに戻ることができます。

Web::Security beyond HTML5

2007/12/21 宮脇文経源氏物語の世界再編集版オリジナル - 高千穂大学渋谷栄一教授作成、無償公開

ネットエージェント株式会社研究開発部はせがわよすうけ

めんどうくさくない Bugハンティング Jul Yosuke HASEGAWA.

Webアプリケーションの通信メカニズムＷＥＢアプリ研究プロジェクト第2回.

社内システム進捗前回までの決定事項 →システムは「Scala PlayFramework2」で作成

第２章ネットサービスとその仕組み（前編）［近代科学社刊］

<TITLE OF PRESENTATION>

C:CGIによる動的文書生成(C言語) 山口実靖

オペレーティングシステムⅡ 第５回講師　松本章代 VirtuaWin・・・仮想デスクトップソフト 2009/11/6.

Hot Pepper for iPod touch

Servlet入門(2) 入力フォームをつかったWebアプリ

XSSで使えるかもしれないJavaScriptテクニック

「コンピュータと情報システム」 07章インターネットとセキュリティ

第4回個人の動画配信補足のためのWeb構築

30分でわかるTCP/IPの基礎 ~インターネットの標準プロトコル~ 所属：法政大学情報科学研究科馬研究室氏名：川島友美

第1回 JavaScriptゼミ・ scriptエレメント・記述における諸注意・古いブラウザへの対応方法

オペレーティングシステムⅡ 第３回講師　松本章代 VirtuaWin・・・仮想デスクトップソフト 2009/10/16.

Outlook で送信したメールの添付ファイルが消える

佐賀大学理工学部知能情報システム学科講師大月美佳

Bottle/Pythonによる Webアプリ入門

Perlを用いた学内専用アップローダの作成

HTTPプロトコルとJSP (1) データベース論第3回.

JQueryでAjax 藤田＠ジャストプレイヤー ※参考しまくり文献 jQuery日本語リファレンス.

HTTPプロトコル J2EE I 第7回 /

メッセージ機能相手にメッセージを送信する 04 送信する相手を選んでメッセージを送信します。

メールの仕組みチーム　二風堂々.

XML読み込みとDOM操作で Ajaxに近づこう

データベース設計第９回 Webインタフェースの作成（１）

情報アプリケーション１ 2006年 10月 5日第三回資料担当　重定　如彦　.

第8章 Web技術とセキュリティ　　岡本　好未.

情報コミュニケーション入門ｂ第１０回 Web入門（１）

情報コミュニケーション入門ｂ第１０回 Web入門（１）

携帯ゲーム機の進化情報モラル研修～Ｎintendo３DSを例に～

卒業論文発表「Web アクセスに伴う脅威の特徴分析」

ガジェット・マスターへのまわり道！？～Ajaxを理解しよう～

制作技術ー３双方向通信： CGIシステムと環境変数

Webセキュリティ情報工学専攻　1年　赤木里騎 P226~241.

平成１９年１０月１９日図書系のためのアプリケーション開発講習会

情報コミュニケーション入門ｅ第１１回 Part2 Web入門（１）

Webサーバとクライアント接続要求ＧＥＴ・・接続状態ＨＴＴＰ・・ Webサーバ

Webプロキシ HTTP1.0 ヒント CS-B3　ネットワークプログラミング　＆情報科学科実験I.

携帯ゲーム機の進化情報モラル研修～Ｎintendo３DSを例に～

ネットワークプログラミング（３回目） 05A1302 円田　優輝.

情報コミュニケーション入門ｂ第１１回 Web入門（２）

HP作成そろそろまとめ編担当：TAの人.

情報コミュニケーション入門ｅ第１２回 Part1 Web入門（２）

JavaScriptを含んだHTML文書に対するデータフロー解析を用いた構文検証手法の提案

Webアプリケーションと JSPの基本ソフトウェア特論第4回.

情報コミュニケーション入門ｅ第１２回 Part1 Web入門（２）

第14回放送授業.

システムプログラミング第１0回プロセス間通信３簡易Web server（準備） Chat プログラム担当：青木義満、篠埜功

PHP と SQL (MySQL) の連携日本語のデータを扱う

例題のプログラムを通して JavaScriptの仕組みを理解することとします。

アプリケーションゲートウェイ実験２００１．１０．５鬼塚　優.

Webプロキシ HTTP1.1 ヒント CS-B3　ネットワークプログラミング　＆情報科学科実験I.

HTTPプロトコルの詳細 M1　峯　肇史.

Presentation transcript:

押さえておきたいIE8のセキュリティ新機能第01回まっちゃ４４５目覚まし勉強会ライトニングトークはせがわようすけ http://utf-8.jp/

せっかく東京にきたのだからあいいーのさいしんどうこうをしりたいんだいや、そのりくつはおかしい "フォクすけ" (C) 2008 Mozilla Japan

さて

ここで、Web 2.0世代の皆様に問題です

Quiz. どちらがWeb2.0的か？

５秒でわかる解説参考文献 http://namazu.org/~takesako/slides/binary20ajax.ppt ロングテール "フォクすけ" (C) 2008 Mozilla Japan

本題

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

XSS Filter 明らかな攻撃的スクリプトをブロック文字コード関連のXSSも一部ブロック! GET /?q="><script>alert... HTTP/1.1 HTTP/1.1 200 OK Content-Type: text/html <html> <input type="text" value=""><script>alert... "> </html>

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

Cross-Document Messaging iframe間でメッセージのやり取りを実現クロスドメインでも通信可能双方向でメッセージの送受信が可能送信側: postMessage()メソッド受信側: onmessage イベントハンドラ JSONPより安全にデータの受け渡しができる

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

XDomainRequest XMLHttpRequestみたいなやつクロスドメインでも読み込み可能クライアント側 var XDR = new XDomainRequest(); xdr.open( "POST", "http://example.com/xdr.txt" ); xdr.send( "post data" ); サーバ側 HTTP/1.1 200 OK Content-Type: text/plain XDomainRequestAllowed: 1

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

toStaticHTMLメソッド文字列中の「動的」な部分を削除静的なHTMLはそのまま残る var s = "<div>Hello<script>alert(1)</script></div>"; var t = toStaticHTML( s ); elm.innerHTML = t; <body> <div id="content"> <div>Hello</div> </div> </body>

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

JSONパーサリモートからのJSONはeval()したくない! 安全なJSONパーサの組み込み簡単・安全にJSONのパースができる! var jsonString = '{ "name" : "hasegawa" }'; var obj = JSON.parse( jsonString );

IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善

Content-Type無視の改善画像は画像。HTML扱いしない! Image/* は必ず画像として扱う! 壊れた画像となる HTTP/1.1 200 OK Content-Type: image/bmp <html> <script>alert(1)</script> </html> 壊れた画像となる

Content-Type無視の改善魔法の呪文ようやく呪縛から解放! HTTP/1.1 200 OK Content-Type: text/plain; authoritative=true; <html> <script>alert(1)</script> </html> テキストファイルとして表示

続きは大阪で Admintech.jp 検索検索

Admintec.jp大阪勉強会２００８年９月２７日マイクロソフト大阪オフィスセミナールーム IE8の裏話もいっぱいあるよマイクロソフト大阪オフィス　セミナールーム IE8の裏話もいっぱいあるよ http://admintech.jp/ 　　／￣￣＼　／　　 _ノ　　＼　|　　　（ ●）（●） .　|　　　　（__人__）　　大阪まで聞きに来るべきだろ… 　 |　　　　　｀ ⌒´ﾉ　　　常識的に考えて… .　 |　　　　　　　 } .　ヽ　　　　　　 } 　　ヽ　　　　　ノ　　　　　　　　＼　　　/　　　く　　＼　　　　　　　＼　　　|　　　　＼　＼　　　　　　　＼　　 |　　　　|ヽ、二⌒)､　　　　　　　＼