押さえておきたい
This presentation is the property of its rightful owner.
Sponsored Links
1 / 23

押さえておきたい IE8 の セキュリティ 新機能 PowerPoint PPT Presentation


  • 57 Views
  • Uploaded on
  • Presentation posted in: General

押さえておきたい IE8 の セキュリティ 新機能. はせがわ ようすけ. 第 01 回まっちゃ445目覚まし勉強会ライトニングトーク. http://utf-8.jp/. せっかく東京に きたのだ から あいいーの さいしん どうこう を しりたいんだ. いや、 そのりくつ は おかしい. " フォクすけ " ( C) 2008 Mozilla Japan. さて. ここで 、 Web 2.0 世代の 皆様に問題です. Quiz. どちらが Web2.0 的か ?. ロングテール. 5秒でわかる解説. 参考文献

Download Presentation

押さえておきたい IE8 の セキュリティ 新機能

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Ie8

押さえておきたいIE8のセキュリティ新機能

はせがわようすけ

第01回まっちゃ445目覚まし勉強会ライトニングトーク

http://utf-8.jp/


Ie8

せっかく東京に

きたのだから

あいいーの

さいしん

どうこうを

しりたいんだ

いや、

そのりくつは

おかしい

"フォクすけ" (C) 2008 Mozilla Japan


Ie8

さて


Ie8

ここで、Web 2.0世代の

皆様に問題です


Quiz web2 0

Quiz. どちらがWeb2.0的か?


Ie8

ロングテール

5秒でわかる解説

参考文献

http://namazu.org/~takesako/slides/binary20ajax.ppt

"フォクすけ" (C) 2008 Mozilla Japan


Ie8

本題


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Xss filter

XSS Filter

明らかな攻撃的スクリプトをブロック

文字コード関連のXSSも一部ブロック!

GET /?q="><script>alert... HTTP/1.1

HTTP/1.1 200 OK

Content-Type: text/html

<html>

<input type="text" value=""><script>alert... ">

</html>


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Cross document messaging

Cross-Document Messaging

  • iframe間でメッセージのやり取りを実現

  • クロスドメインでも通信可能

  • 双方向でメッセージの送受信が可能

  • 送信側: postMessage()メソッド

  • 受信側: onmessage イベントハンドラ

  • JSONPより安全にデータの受け渡しができる


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Xdomainrequest

XDomainRequest

  • XMLHttpRequestみたいなやつ

  • クロスドメインでも読み込み可能

クライアント側

var XDR = new XDomainRequest();

xdr.open( "POST", "http://example.com/xdr.txt" );

xdr.send( "post data" );

サーバ側

HTTP/1.1 200 OK

Content-Type: text/plain

XDomainRequestAllowed: 1


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Tostatichtml

toStaticHTMLメソッド

  • 文字列中の「動的」な部分を削除

  • 静的なHTMLはそのまま残る

var s = "<div>Hello<script>alert(1)</script></div>";

var t = toStaticHTML( s );

elm.innerHTML = t;

<body>

<div id="content">

<div>Hello</div>

</div>

</body>


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Ie8

JSONパーサ

  • リモートからのJSONはeval()したくない!

  • 安全なJSONパーサの組み込み

    簡単・安全にJSONのパースができる!

var jsonString = '{ "name" : "hasegawa" }';

var obj = JSON.parse( jsonString );


Ie8

IE8のセキュリティ新機能

Webアプリ向けに多数の改善

  • XSSフィルター

  • Cross-Document Messaging

  • XDomainRequest

  • toStaticHTMLメソッド

  • JSONパーサ

  • Content-Type無視の改善


Content type

Content-Type無視の改善

画像は画像。HTML扱いしない!

Image/* は必ず画像として扱う!

HTTP/1.1 200 OK

Content-Type: image/bmp

<html>

<script>alert(1)</script>

</html>

壊れた画像となる


Content type1

Content-Type無視の改善

魔法の呪文

ようやく呪縛から解放!

HTTP/1.1 200 OK

Content-Type: text/plain; authoritative=true;

<html>

<script>alert(1)</script>

</html>

テキストファイルとして表示


Ie8

続きは大阪で

検索

Admintech.jp

検索


Admintec jp

Admintec.jp大阪勉強会

  • 2008年9月27日

  • マイクロソフト大阪オフィス セミナールーム

  • IE8の裏話もいっぱいあるよ

    http://admintech.jp/

   / ̄ ̄\

 /   _ノ  \

|    ( ●)(●)

.|     (__人__)   大阪まで聞きに来るべきだろ…

|     ` ⌒´ノ    常識的に考えて…

.|}

.  ヽ        }

   ヽ     ノ        \

/    く  \        \

|     \   \         \

||ヽ、二⌒)、          \


  • Login