Upload
Firefox Security Features
•
9 likes
•
2,801 views
dynamis
Follow
Mozilla 勉強会@東京 6th 後半のセキュリティ機能紹介スライド
Read less
Read more
Report
Share
Report
Share
1 of 52
Download now
Download to read offline
More Related Content
Firefox Security Features
1.
Security Features Slides @
Mozilla Workshop @ Tokyo 6th by Tomoya ASAI (dynamis) last update on 2011.10.01 see also: http://dynamis.jp/r
3.
Tomoya ASAI (dynamis)
Mozilla Japan - Technical mktg. http://dynamis.jp/ http://facebook.com/dynamis http://twitter.com/dynamitter dynamis@mozilla-japan.org dynamis ( dunamis)
4.
Agenda
about:Mozilla Content Security Policy Security Privacy latest topic
5.
Facebook
Twitter
12.
about:mozilla .com brain .org
heart
13.
http://www.flickr.com/photos/intothefuzz/5577427601/
15.
http://www.flickr.com/photos/intothefuzz/5578011308/
16.
: http://www.mozilla.org/about/manifesto.ja.html
17.
http://www.flickr.com/photos/intothefuzz/5577430083/
22.
CSP Content Security Policy
23.
https://developer.mozilla.org/ja/Introducing_Content_Security_Policy
24.
CSS
25.
<!-- インラインCSSは最新仕様では適用されない(未実装) --> <style>
body { font-size: 200%; } </style> <p style="font-size: 200%;">I love lesser panda!</p> <!-- インラインJavaScriptは実行されない(実装済み) --> <script> alert("inline script"); </script> <p onclick="alert('inline script')">Red panda!</p> <!-- 外部 CSS, JavaScript はデフォルト許可 --> <link rel="stylesheet" href="external.css"/> <script src="external.js"></script> https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
26.
/* これらを実行するとエラー(それ以降のコードも無視) */ eval("alert('☺')"); //
call to eval("alert('☺')") blocked by CSP new Function("alert('☺')"); // call to Function() blocked by CSP setTimeout("alert('☺')", 0); setInterval("alert('☺')", 0); // call to setTimeout/setInterval blocked by CSP <!-- data: URL も無視される --> <img id="dataimg" src="data:image/png;base64,AAAB ..."/>
28.
// httpd.conf, .htaccess
の Header ディレクティブを使う Header always append X-Content-Security-Policy "default-src 'self'" // ポリシーファイルを使用する場合 AddType も忘れずに AddType "text/x-content-security-policy" .csp Header always append X-Content-Security-Policy "policy-uri /csp/policy.csp"
29.
// 全コンテンツを同一ドメインのみ (サブドメインも不可) X-Content-Security-Policy:
default-src 'self' // 自身と dynamis.jp のサブドメインのみ許可 X-Content-Security-Policy: default-src 'self' *.dynamis.jp // secure.mozilla.jp からの読み込みは HTTPS のみ X-Content-Security-Policy: default-src https://secure.mozilla.jp/ https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
30.
// 画像は任意サイト、メディアファイルと JS
は指定サイトに限定 X-Content-Security-Policy: default-src 'self'; img-src *; (実際は改行なし) media-src video.tld audio.tld; (実際は改行なし) script-src script.tld; // 自身と *.mail.jp は全許可、他サイトは画像のみに制限 // スクリプトなど指定していないものは default-src と同じ X-Content-Security-Policy: defaut-src 'self' *.mail.jp; (実際は改行なし) img-src * https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
32.
// ブラウザから違反レポートを受け取る URL
を指定する // JSON 形式のレポートが届くのでサーバで処理する X-Content-Security-Policy: report-uri /csp/report // 違反レポートは送るが実行は実際にブロックしない場合 // 既存サイトに必要なポリシーを調べるときに便利 X-Content-Security-Policy-Report-Only: report-uri /csp/report https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
33.
https://github.com/bsterne/bsterne-tools/tree/master/csp-bookmarklet
34.
Security more Secure Web...
35.
http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/
36.
// 86400 秒はこのサイトに
HTTP での接続を禁止 Strict-Transport-Security: max-age=86400 // 送信元サイトのサブドメインも HTTP 接続を禁止する Strict-Transport-Security: max-age=86400; includeSubdomains http://code.google.com/intl/ja/apis/webfonts/docs/getting_started.html
37.
// Apache の設定でサイト全体に設定する場合:
Header always append X-Frame-Options SAMEORIGIN Fx 3.6.9 https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
38.
http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacking/
39.
// dynamis.jp のページからはこのサイトの読み込み許可 Access-Control-Allow-Origin:
http://dynamis.jp // 任意サイトからの読み込みを許可 (公開 API などに) Access-Control-Allow-Origin: * https://developer.mozilla.org/en/http_access_control
41.
Privacy more Comfortable Web...
42.
https://developer.mozilla.org/en/The_Do_Not_Track_Field_Guide
43.
latest topic how about
Amazon Silk?
45.
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
46.
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
47.
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
48.
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
49.
Amazon Silk FAQ
: http://t.co/encBio73
52.
Any Question ?
Download now