1 / 23

押さえておきたい IE8 の セキュリティ 新機能

押さえておきたい IE8 の セキュリティ 新機能. はせがわ ようすけ. 第 01 回まっちゃ445目覚まし勉強会ライトニングトーク. http://utf-8.jp/. せっかく東京に きたのだ から あいいーの さいしん どうこう を しりたいんだ. いや、 そのりくつ は おかしい. " フォクすけ " ( C) 2008 Mozilla Japan. さて. ここで 、 Web 2.0 世代の 皆様に問題です. Quiz. どちらが Web2.0 的か ?. ロングテール. 5秒でわかる解説. 参考文献

reganne-coakley
Download Presentation

押さえておきたい IE8 の セキュリティ 新機能

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 押さえておきたいIE8のセキュリティ新機能 はせがわようすけ 第01回まっちゃ445目覚まし勉強会ライトニングトーク http://utf-8.jp/

  2. せっかく東京に きたのだから あいいーの さいしん どうこうを しりたいんだ いや、 そのりくつは おかしい "フォクすけ" (C) 2008 Mozilla Japan

  3. さて

  4. ここで、Web 2.0世代の 皆様に問題です

  5. Quiz. どちらがWeb2.0的か?

  6. ロングテール 5秒でわかる解説 参考文献 http://namazu.org/~takesako/slides/binary20ajax.ppt "フォクすけ" (C) 2008 Mozilla Japan

  7. 本題

  8. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  9. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  10. XSS Filter 明らかな攻撃的スクリプトをブロック 文字コード関連のXSSも一部ブロック! GET /?q="><script>alert... HTTP/1.1 HTTP/1.1 200 OK Content-Type: text/html <html> <input type="text" value=""><script>alert... "> </html>

  11. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  12. Cross-Document Messaging • iframe間でメッセージのやり取りを実現 • クロスドメインでも通信可能 • 双方向でメッセージの送受信が可能 • 送信側: postMessage()メソッド • 受信側: onmessage イベントハンドラ • JSONPより安全にデータの受け渡しができる

  13. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  14. XDomainRequest • XMLHttpRequestみたいなやつ • クロスドメインでも読み込み可能 クライアント側 var XDR = new XDomainRequest(); xdr.open( "POST", "http://example.com/xdr.txt" ); xdr.send( "post data" ); サーバ側 HTTP/1.1 200 OK Content-Type: text/plain XDomainRequestAllowed: 1

  15. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  16. toStaticHTMLメソッド • 文字列中の「動的」な部分を削除 • 静的なHTMLはそのまま残る var s = "<div>Hello<script>alert(1)</script></div>"; var t = toStaticHTML( s ); elm.innerHTML = t; <body> <div id="content"> <div>Hello</div> </div> </body>

  17. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  18. JSONパーサ • リモートからのJSONはeval()したくない! • 安全なJSONパーサの組み込み 簡単・安全にJSONのパースができる! var jsonString = '{ "name" : "hasegawa" }'; var obj = JSON.parse( jsonString );

  19. IE8のセキュリティ新機能 Webアプリ向けに多数の改善 • XSSフィルター • Cross-Document Messaging • XDomainRequest • toStaticHTMLメソッド • JSONパーサ • Content-Type無視の改善

  20. Content-Type無視の改善 画像は画像。HTML扱いしない! Image/* は必ず画像として扱う! HTTP/1.1 200 OK Content-Type: image/bmp <html> <script>alert(1)</script> </html> 壊れた画像となる

  21. Content-Type無視の改善 魔法の呪文 ようやく呪縛から解放! HTTP/1.1 200 OK Content-Type: text/plain; authoritative=true; <html> <script>alert(1)</script> </html> テキストファイルとして表示

  22. 続きは大阪で 検索 Admintech.jp 検索

  23. Admintec.jp大阪勉強会 • 2008年9月27日 • マイクロソフト大阪オフィス セミナールーム • IE8の裏話もいっぱいあるよ http://admintech.jp/    / ̄ ̄\  /   _ノ  \ |    ( ●)(●) .|     (__人__)   大阪まで聞きに来るべきだろ… |     ` ⌒´ノ    常識的に考えて… .|} .  ヽ        }    ヽ     ノ        \ /    く  \        \ |     \   \         \ ||ヽ、二⌒)、          \

More Related