Content-Security-Policy と nonce の話 - tokuhirom's blog
Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コード例を探していたのですが、実際に動くサンプルというものが nonce 関連のもので見当たりませんでした。 そこで、実際に動くサンプルを用意しました。 https://github.com/tokuhirom/csp-nonce-sample 以下は Sinatra で書かれたサンプルコードです。 require 'sinatra' require 'securerandom' get '/' d
シンプルな安全確認ルールとそれに則ったサイト作りを~産総研高木氏講演
「Network Security Forum 2005」では1日、独立行政法人産業技術総合研究所(産総研)の情報セキュリティ研究センターで主任研究員を務める高木浩光氏が、「安全なWeb利用の鉄則 ~消費者に今伝えるべき本当のこと~」と題した講演を行なった。講演では、サイトの利用者が行なうべき最低限の安全確認手順を提示し、サービス提供者側に求められる正しいサイト設計のあり方を示した。 ● 本当に伝えるべきことを誰も伝えていない 高木氏は、消費者が安全にWebを利用する方法について「本当に伝えるべきことを誰も伝えていない」として、セキュリティベンダーやマスコミ、行政などが消費者に対して正しい情報を伝えていないと訴えた。 そうした例として、高木氏は内閣官房や総務省などが7月に発表した「夏休み期間における情報セキュリティにかかる注意喚起」を挙げ、問題点を指摘。「フィッシングやスパイウェアの『被害
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
