Presentation is loading. Please wait.

Presentation is loading. Please wait.

オリジンのはなし. NetAgent Shibuya.XSS Feb 28 2013 What is "Origin" ?  オリジン  Same-Origin Policy  クロスオリジンなんとか…  RFC6454 "The Web.

Published byけんじ いせき Modified 約 8 年前

Similar presentations

Presentation on theme: "オリジンのはなし. NetAgent Shibuya.XSS Feb 28 2013 What is "Origin" ?  オリジン  Same-Origin Policy  クロスオリジンなんとか…  RFC6454 "The Web."— Presentation transcript:

1 オリジンのはなし

2

3 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 What is "Origin" ?  オリジン  Same-Origin Policy  クロスオリジンなんとか…  RFC6454 "The Web Origin Concept"  スキーム + ホスト + ポート

4 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 オリジン = スキーム+ホスト+ポート  スキーム + ホスト + ポート  http://example.jp/  http://example.jp/foo/  http://example.jp:80/bar/  https://example.jp/  data:スキームは独立したオリジン  file:スキームは実装依存

5 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 オリジン = スキーム+ホスト+ポート  正規化した表現方法  "http://example.jp"  http://example.jp/  http://example.jp/foo  http://example.jp:80/bar/  location.origin - WebKit系ブラウザ

6 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 オリジン = スキーム+ホスト+ポート  オリジンに基づく制約  XMLHttpRequest  Web Storage  X-Frame-Options  オリジン以外に基づく制約  Cookie  HTTP Authentication

7 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 document.domain // parent.example.jp... document.domain = "example.jp"; alert( frames[0].document.body.innerHTML ); // child.example.jp document.domain = "example.jp"  document.domainは書き換え可能  ポート、プロトコルは同一であること http://masatokinugawa.l0.cm/2013/02/twitter-vulnerability-2013.html

8 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 クロスオリジンでのアクセス  Cross-Origin Resource Sharing  http://www.w3.org/TR/cors/  クロスオリジンでリソースにアクセスす るルールを定義  XMLhttpRequest Level 2 ,,CSS... Firefox,Opera,Chrome,Safari

9 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 XHR with CORS // http://base.example.jp/ var xhr = new XMLHttpRequest(); xhr.open( "GET", "http://another.example.jp/", true ); xhr.onreadystatechange = function(){... }; xhr.send( null ); GET / HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Origin: http://base.example.jp HTTP/1.1 200 OK Date: Tue, 28 Feb 2013 12:34:56 GMT Access-Control-Allow-Origin: http://example.jp Content-Type: text/html; charset=utf-8...

10 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 XHR with CORS // http://base.example.jp/ var xhr = new XMLHttpRequest(); xhr.open( "GET", "http://another.example.jp/", true ); xhr.withCredentials = true; xhr.onreadystatechange = function(){... }; xhr.send( null ); GET / HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Cookie: sessionid=135A2387BC12EE0F Origin: http://base.example.jp HTTP/1.1 200 OK Date: Tue, 28 Feb 2013 12:34:56 GMT Access-Control-Allow-Origin: http://example.jp Content-Type: text/html; charset=utf-8...

11 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013,,CSS with CORS // http://base.example.jp/ <img src="http://another.example.jp/image.png" crossorigin="anonymous"> GET /image.png HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Origin: http://base.example.jp HTTP/1.1 200 OK Date: Tue, 28 Feb 2013 12:34:56 GMT Access-Control-Allow-Origin: http://example.jp Content-Type: image/png... Originがつき、Cookieは送信されない Canvas経由で読み取り可能になる

12 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013,,CSS with CORS // http://base.example.jp/ <img src="http://another.example.jp/image.png" crossorigin="use-credentials"> GET /image.png HTTP/1.1 Host: another.example.jp User-Agent: Mozilla/5.0 (Windows NT 6.1)... Cookie: sessionid=135A2387BC12EE0F Origin: http://base.example.jp HTTP/1.1 200 OK Date: Tue, 28 Feb 2013 12:34:56 GMT Access-Control-Allow-Origin: http://example.jp Content-Type: image/png... Canvas経由で読み取り可能になる

13 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 Access-Control-Allow-Origin  Access-Control-Allow-Origin: *  誰からでも読み取り可能  機密情報を含むコンテンツの場合、罠ページ からも読み取られれてしまう! HTTP/1.1 200 OK Date: Tue, 28 Feb 2013 12:34:56 GMT Access-Control-Allow-Origin: * Content-Type: text/html...

14 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 まとめ  origin = スキーム + ホスト + ポート  新しい機能はorigin baseなアクセス制御  CORS - SOPを超える統一的なルール  Access-Control-Allow-Originは公開範囲 に気を付けて

15 NetAgent http://www.netagent.co.jp/ Shibuya.XSS Feb 28 2013 質問 hasegawa@utf-8.jp hasegawa@netagent.co.jp @hasegawayosuke http://utf-8.jp/

16

Download ppt "オリジンのはなし. NetAgent Shibuya.XSS Feb 28 2013 What is "Origin" ?  オリジン  Same-Origin Policy  クロスオリジンなんとか…  RFC6454 "The Web."

Similar presentations

SWF 内 Lossless 画像の PNG 化によ る HTML5 Flash Player 処理軽減提 案 2011/11/17(Thu)

SWF 内 Lossless 画像の PNG 化によ る HTML5 Flash Player 処理軽減提 案 2011/11/17(Thu)
HTML5時代の Webセキュリティ Jul 21 2012 Yosuke HASEGAWA. NetAgent security-mikan techtalk #5 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー.

HTML5時代の Webセキュリティ Jul Yosuke HASEGAWA. NetAgent security-mikan techtalk #5 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー.
Jun 13 2013 Yosuke HASEGAWA. NetAgent OWASP Japan Local Chapter Meeting #6 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー.

Jun Yosuke HASEGAWA. NetAgent OWASP Japan Local Chapter Meeting #6 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー.
FxUG in Toyama #32011.4.16 Presented by wacky. 最近 AMF 3 の Encode/Decode を実装してみました。 そこで得た知識を共有したいと思います! 30分後には … AMF の基本構造が分かっている AMF の得手不得手が分かっている BlazeDS.

FxUG in Toyama # Presented by wacky. 最近 AMF 3 の Encode/Decode を実装してみました。 そこで得た知識を共有したいと思います! 30分後には … AMF の基本構造が分かっている AMF の得手不得手が分かっている BlazeDS.
コンピュータ基礎実習上級 #4 拡張子、 URL 、ファイル名 一般教育研究センター 安田豊. ファイル名と拡張子 ファイルには名前が付けられている 区別のため。整理などに便利に利用するとよい。 abc.html ピリオドによってファイル名を前後に分ける習慣がある。 ピリオドの左は整理のために自由な名前を選べる.

コンピュータ基礎実習上級 #4 拡張子、 URL 、ファイル名 一般教育研究センター 安田豊. ファイル名と拡張子 ファイルには名前が付けられている 区別のため。整理などに便利に利用するとよい。 abc.html ピリオドによってファイル名を前後に分ける習慣がある。 ピリオドの左は整理のために自由な名前を選べる.
Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.

Internet Explorer 障害解析 最初の一歩 - IE のトラブルを理解する -. 概要 Internet Explorer を使用中に発生するトラブルの 種類と、調査のための切り分け方法を紹介します! (以降は IE と略称で表記します) よくあるお問い合わせ Web ページの表示が白画面のまま完了しない.
Copyright © 2001-2005 Ariel Networks, Inc. AJAX 勉強会 アリエル・ネットワーク株式会社.

Copyright © Ariel Networks, Inc. AJAX 勉強会 アリエル・ネットワーク株式会社.
Nov 14 2013 Yosuke HASEGAWA #owaspjapan. OWASP Japan Local Chapter Meeting #8 #owaspjapan 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー 技術顧問  Microsoft.

Nov Yosuke HASEGAWA #owaspjapan. OWASP Japan Local Chapter Meeting #8 #owaspjapan 自己紹介 はせがわようすけ  ネットエージェント株式会社  株式会社セキュアスカイ・テクノロジー 技術顧問  Microsoft.
Web アプリケーション開発入門 大岩研究会 今野隆平 2002 年 5 月 9 日 Introduction to Web Application Development.

Web アプリケーション開発入門 大岩研究会 今野隆平 2002 年 5 月 9 日 Introduction to Web Application Development.
1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.

1 安全性の高いセッション管理方 式 の Servlet への導入 東京工業大学 理学部 千葉研究室所属 99-2270-6 松沼 正浩.
1 PHP プログラムの実行(まと め) 担当 岡村耕二 月曜日 2限 平成 22 年度 情報科学 III (理系コア科目・2年生) 本資料の一部は、堀良彰准教授、天野浩文准教授、菅沼明 准教授等による以前の講義資料をもとにしています。

1 PHP プログラムの実行(まと め) 担当 岡村耕二 月曜日 2限 平成 22 年度 情報科学 III (理系コア科目・2年生) 本資料の一部は、堀良彰准教授、天野浩文准教授、菅沼明 准教授等による以前の講義資料をもとにしています。
NetAgent P2P検知技術 NetAgent.

NetAgent P2P検知技術 NetAgent.
Rubyでニコニコをごにょごにょ MH35.

Rubyでニコニコをごにょごにょ MH35.
IIS 4.0で開発をするコツ Webアプリケーション構築.

IIS 4.0で開発をするコツ Webアプリケーション構築.
WWW のおはなし 神戸大学理学部地球惑星科学科 4 回生 佐伯 拓郎 (地球および惑星大気科学研究室) 藤田 哲也 (宇宙物理学研究室)

WWW のおはなし 神戸大学理学部地球惑星科学科 4 回生 佐伯 拓郎 (地球および惑星大気科学研究室) 藤田 哲也 (宇宙物理学研究室)
The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用

The Perl Conference Japan ’98 朝日奈アンテナによる コンテンツ情報の取得と利用
Web::Security beyond HTML5

Web::Security beyond HTML5
めんどうくさくない Bugハンティング Jul 21 2012 Yosuke HASEGAWA.

めんどうくさくない Bugハンティング Jul Yosuke HASEGAWA.
Webアプリケーションの 通信メカニズム WEBアプリ研究プロジェクト 第2回.

Webアプリケーションの 通信メカニズム WEBアプリ研究プロジェクト 第2回.
<TITLE OF PRESENTATION>

<TITLE OF PRESENTATION>

Similar presentations

Ads by Google