w3c

iframeのアプリケーションにPermissionを委譲する仕様

w3c

追記 20180918 Chromeではこういう形で実装されました (W3Cで提案されているものとは別物) asnokaze.hatenablog.com Permission Delegation To Embedded Web Applications iframeで埋め込まれたクロスオリジンのWebアプリケーションがPermissionを要求すると…

Feature Policy、ブラウザの特定機能を無効にする仕様

w3c

W3CでFeature Policyという仕様が議論されています。仕様は著者であるGoogleのIlya Grigorik氏のリポジトリ(URL)より確認できます。 このドキュメントはまだW3C公式のドキュメントとはなってはいませんが、先月行われたFace-to-Faceのミーティングでも議論が…

Mixed ContentのブロックされたURIをレポートさせる仕様追加

w3c

Mixed Content Mixed Contentと言う仕様により、httpsで提供しているページの中でhttpで提供するリソース(script等)があるとそのリソースはブロックされます。 このMixed Contentには、Content Security Policyのblock-all-mixed-contentディレクティブも定…

ブラウザのクレデンシャル管理と連携するCredential Managementを試す

w3c

Credential Management クレデンシャル管理機能と連携するためのAPI仕様「Credential Management」がW3Cで議論されています。 https://www.w3.org/TR/credential-management/ ブラウザは、Webサイトにログインするためのユーザ名・パスワードといった資格情…

CSP3のunsafe-dynamicとunsafe-hash-attributes

w3c

unsafe-dynamicは'strict-dynamic'という別ディレクティブとなりました (20160622) Content Security Policy Level 3のFirst Public Working Draftが1月に公開されました。 以前「まもなく公開される CSP Level3 の変更点」この記事で書いたように、CSP leve…

プライベートネットワークへのCSRFを緩和する仕様の提案

w3c

GoogleのMike West氏によって、Chromiumのメーリングリスト上で「インターネットからイントラネットへのCORSの厳格化」に関する提案が行われている。 「CORS and RFC1918」として提案している仕様も公開されているが、個人のリポジトリであり、W3Cのドキュメ…

まもなく公開される CSP Level3 の変更点

w3c

Content Security Policy Level 3のFirst Public Working Draftがそろそろ公開されそうです。 W3Cのgithubリポジトリより公開予定の仕様が確認できます。 https://w3c.github.io/webappsec-csp/published/FPWD-2015-01.html CSP2からの変更点 CSP3では主に以…

Cookieを制御する、CSPのcookie-scopeディレクティブ

CSPでCookieのセットを制限する"cookie-scope"ディレクティブが「 Content Security Policy: Cookie Controls」という仕様で提案されています。 以下のCookieに関する仕様を提案しているMike West氏による提案である Cookie Prefixes Origin Cookies Depreca…

CSP Embedded Enforcementとは

w3c

W3Cで「Content Security Policy: Embedded Enforcement」という仕様が公開された(First Public Working Draft)。ちょっと読んでみた。 現在はCSPを利用しても、iframeで提供されるサードパティのウィジェットに制限を設けることは出来ませんでした。そこ…

同一オリジンに境界を設ける Suborigins とは

w3c

Webセキュリティを考える上で大事な仕組みの一つに、Same-Origin Policyという仕組みがあります。 Originは「スキーム・ホスト・ポート」の組み合わせです。これらが一緒であれば、同一Originでありリソースへアクセスすることができます。 歴史的経緯や様々…

HSTS Primingとは

w3c

先日行われたTPAC 2015で議論があったらしい「HSTS Priming」について軽く眺めてみる。 議論されているHSTS Priming自体は、EditorであるMike West個人のリポジトリ(URL)にて仕様が公開されている。 HSTS Priming オリジンAで、以下のHTMLを含んでいるとする…

XSSやCSRFリスクを軽減する、Entry Point Regulationとは

w3c

Entry Point Regulation とは 反射型XSS・XSSI・CSRFのリスクを軽減するユーザエージェント上の仕組みとして、W3CでEntry Point Regulationという仕様が策定中です。 Webアプリケーションの口(Entry Point)に幾つかの制限をかけることが出来ます。別オリジン…

Content Security Policy Pinning (csp-pinning)とは

w3c

CSP Pinningという仕様がW3Cで検討されている。 https://w3c.github.io/webappsec/specs/csp-pinning/ CSPの設定をユーザエージェントに記憶させ、毎回CSPヘッダを送信しなくても良くする仕様である。 CSP そもそもCSPとは、JavsScriptや各リソースの読み込…

Clear Site Data、ブラウザのローカルデータを削除する仕組み

w3c

20180724追記 動いた Clear-Site-Dataヘッダでブラウザに記憶されているデータを消す - ASnoKaze blog 背景 Webサイトは様々な理由で、ユーザのローカルにデータを保存します Cookieといった状態を管理するための情報 Cacheといった、Webサイトのパフォーマ…

Network Error Loggingでブラウザのネットワークエラーを検知する

w3c

20180528 追記 Chrome devに来たので試した asnokaze.hatenablog.com 20180301 追記 結構代わりました NELヘッダは、json形式で表現するようになりました。また、report APIに準拠する形になりました NEL: {"report-to": "network-errors", "max-age": 25920…