Download presentation
Presentation is loading. Please wait.
1
押さえておきたいIE8の セキュリティ新機能
第01回まっちゃ445目覚まし勉強会ライトニングトーク はせがわようすけ
2
せっかく東京に きたのだから あいいーの さいしん どうこうを しりたいんだ いや、 そのりくつは おかしい
"フォクすけ" (C) 2008 Mozilla Japan
3
さて
4
ここで、Web 2.0世代の 皆様に問題です
5
Quiz. どちらがWeb2.0的か?
6
5秒でわかる解説 参考文献 ロングテール "フォクすけ" (C) 2008 Mozilla Japan
7
本題
8
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
9
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
10
XSS Filter 明らかな攻撃的スクリプトをブロック 文字コード関連のXSSも一部ブロック!
GET /?q="><script>alert... HTTP/1.1 HTTP/ OK Content-Type: text/html <html> <input type="text" value=""><script>alert... "> </html>
11
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
12
Cross-Document Messaging
iframe間でメッセージのやり取りを実現 クロスドメインでも通信可能 双方向でメッセージの送受信が可能 送信側: postMessage()メソッド 受信側: onmessage イベントハンドラ JSONPより安全にデータの受け渡しができる
13
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
14
XDomainRequest XMLHttpRequestみたいなやつ クロスドメインでも読み込み可能 クライアント側
var XDR = new XDomainRequest(); xdr.open( "POST", " ); xdr.send( "post data" ); サーバ側 HTTP/ OK Content-Type: text/plain XDomainRequestAllowed: 1
15
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
16
toStaticHTMLメソッド 文字列中の「動的」な部分を削除 静的なHTMLはそのまま残る
var s = "<div>Hello<script>alert(1)</script></div>"; var t = toStaticHTML( s ); elm.innerHTML = t; <body> <div id="content"> <div>Hello</div> </div> </body>
17
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
18
JSONパーサ リモートからのJSONはeval()したくない! 安全なJSONパーサの組み込み 簡単・安全にJSONのパースができる!
var jsonString = '{ "name" : "hasegawa" }'; var obj = JSON.parse( jsonString );
19
IE8のセキュリティ新機能 Webアプリ向けに多数の改善 XSSフィルター Cross-Document Messaging
XDomainRequest toStaticHTMLメソッド JSONパーサ Content-Type無視の改善
20
Content-Type無視の改善 画像は画像。HTML扱いしない! Image/* は必ず画像として扱う! 壊れた画像となる
HTTP/ OK Content-Type: image/bmp <html> <script>alert(1)</script> </html> 壊れた画像となる
21
Content-Type無視の改善 魔法の呪文 ようやく呪縛から解放! HTTP/1.1 200 OK
Content-Type: text/plain; authoritative=true; <html> <script>alert(1)</script> </html> テキストファイルとして表示
22
続きは大阪で Admintech.jp 検索 検索
23
Admintec.jp大阪勉強会 2008年9月27日 マイクロソフト大阪オフィス セミナールーム IE8の裏話もいっぱいあるよ
マイクロソフト大阪オフィス セミナールーム IE8の裏話もいっぱいあるよ / ̄ ̄\ / _ノ \ | ( ●)(●) . | (__人__) 大阪まで聞きに来るべきだろ… | ` ⌒´ノ 常識的に考えて… . | } . ヽ } ヽ ノ \ / く \ \ | \ \ \ | |ヽ、二⌒)、 \
![Admintec.jp大阪勉強会 2008年9月27日 マイクロソフト大阪オフィス セミナールーム IE8の裏話もいっぱいあるよ](http://slidesplayer.net/slide/11606117/62/images/23/Admintec.jp%E5%A4%A7%E9%98%AA%E5%8B%89%E5%BC%B7%E4%BC%9A+%EF%BC%92%EF%BC%90%EF%BC%90%EF%BC%98%E5%B9%B4%EF%BC%99%E6%9C%88%EF%BC%92%EF%BC%97%E6%97%A5+%E3%83%9E%E3%82%A4%E3%82%AF%E3%83%AD%E3%82%BD%E3%83%95%E3%83%88%E5%A4%A7%E9%98%AA%E3%82%AA%E3%83%95%E3%82%A3%E3%82%B9+%E3%82%BB%E3%83%9F%E3%83%8A%E3%83%BC%E3%83%AB%E3%83%BC%E3%83%A0+IE8%E3%81%AE%E8%A3%8F%E8%A9%B1%E3%82%82%E3%81%84%E3%81%A3%E3%81%B1%E3%81%84%E3%81%82%E3%82%8B%E3%82%88.jpg "マイクロソフト大阪オフィス セミナールーム. IE8の裏話もいっぱいあるよ. / ̄ ̄\ / _ノ \ | ( ●)(●) . | (__人__) 大阪まで聞きに来るべきだろ… | ` ⌒´ノ 常識的に考えて… . | } . ヽ } ヽ ノ \ / く \ \ | \ \ \ | |ヽ、二⌒)、 \")
Similar presentations
![第2章 ネットサービスとその仕組み(前編) [近代科学社刊]](/61/11293443/big_thumb.jpg "第2章 ネットサービスとその仕組み(前編) [近代科学社刊]>")