Firefox Security Features
•
9 likes•2,801 views
Mozilla 勉強会@東京 6th 後半のセキュリティ機能紹介スライド
Report
Share
Firefox Security Features
- 1. Security Features Slides @ Mozilla Workshop @ Tokyo 6th by Tomoya ASAI (dynamis) last update on 2011.10.01 see also: http://dynamis.jp/r
- 3. Tomoya ASAI (dynamis) Mozilla Japan - Technical mktg. http://dynamis.jp/ http://facebook.com/dynamis http://twitter.com/dynamitter dynamis@mozilla-japan.org dynamis ( dunamis)
- 4. Agenda about:Mozilla Content Security Policy Security Privacy latest topic
- 5. Facebook Twitter
- 12. about:mozilla .com brain .org heart
- 24. CSS
- 25. <!-- インラインCSSは最新仕様では適用されない(未実装) --> <style> body { font-size: 200%; } </style> <p style="font-size: 200%;">I love lesser panda!</p> <!-- インラインJavaScriptは実行されない(実装済み) --> <script> alert("inline script"); </script> <p onclick="alert('inline script')">Red panda!</p> <!-- 外部 CSS, JavaScript はデフォルト許可 --> <link rel="stylesheet" href="external.css"/> <script src="external.js"></script> https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 26. /* これらを実行するとエラー(それ以降のコードも無視) */ eval("alert('☺')"); // call to eval("alert('☺')") blocked by CSP new Function("alert('☺')"); // call to Function() blocked by CSP setTimeout("alert('☺')", 0); setInterval("alert('☺')", 0); // call to setTimeout/setInterval blocked by CSP <!-- data: URL も無視される --> <img id="dataimg" src="data:image/png;base64,AAAB ..."/>
- 28. // httpd.conf, .htaccess の Header ディレクティブを使う Header always append X-Content-Security-Policy "default-src 'self'" // ポリシーファイルを使用する場合 AddType も忘れずに AddType "text/x-content-security-policy" .csp Header always append X-Content-Security-Policy "policy-uri /csp/policy.csp"
- 29. // 全コンテンツを同一ドメインのみ (サブドメインも不可) X-Content-Security-Policy: default-src 'self' // 自身と dynamis.jp のサブドメインのみ許可 X-Content-Security-Policy: default-src 'self' *.dynamis.jp // secure.mozilla.jp からの読み込みは HTTPS のみ X-Content-Security-Policy: default-src https://secure.mozilla.jp/ https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 30. // 画像は任意サイト、メディアファイルと JS は指定サイトに限定 X-Content-Security-Policy: default-src 'self'; img-src *; (実際は改行なし) media-src video.tld audio.tld; (実際は改行なし) script-src script.tld; // 自身と *.mail.jp は全許可、他サイトは画像のみに制限 // スクリプトなど指定していないものは default-src と同じ X-Content-Security-Policy: defaut-src 'self' *.mail.jp; (実際は改行なし) img-src * https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 32. // ブラウザから違反レポートを受け取る URL を指定する // JSON 形式のレポートが届くのでサーバで処理する X-Content-Security-Policy: report-uri /csp/report // 違反レポートは送るが実行は実際にブロックしない場合 // 既存サイトに必要なポリシーを調べるときに便利 X-Content-Security-Policy-Report-Only: report-uri /csp/report https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 36. // 86400 秒はこのサイトに HTTP での接続を禁止 Strict-Transport-Security: max-age=86400 // 送信元サイトのサブドメインも HTTP 接続を禁止する Strict-Transport-Security: max-age=86400; includeSubdomains http://code.google.com/intl/ja/apis/webfonts/docs/getting_started.html
- 37. // Apache の設定でサイト全体に設定する場合: Header always append X-Frame-Options SAMEORIGIN Fx 3.6.9 https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
- 39. // dynamis.jp のページからはこのサイトの読み込み許可 Access-Control-Allow-Origin: http://dynamis.jp // 任意サイトからの読み込みを許可 (公開 API などに) Access-Control-Allow-Origin: * https://developer.mozilla.org/en/http_access_control
- 43. latest topic how about Amazon Silk?
- 49. Amazon Silk FAQ : http://t.co/encBio73
- 52. Any Question ?