Security FeaturesSlides @ Mozilla Workshop @ Tokyo 6th      by Tomoya ASAI (dynamis)                   last update on 2011...
Tomoya ASAI (dynamis)       Mozilla Japan - Technical mktg.       http://dynamis.jp/       http://facebook.com/dynamis    ...
Agenda         about:Mozilla         Content Security Policy         Security         Privacy         latest topic
Facebook   Twitter
about:mozilla.com brain .org heart
http://www.flickr.com/photos/intothefuzz/5577427601/
http://www.flickr.com/photos/intothefuzz/5578011308/
: http://www.mozilla.org/about/manifesto.ja.html
http://www.flickr.com/photos/intothefuzz/5577430083/
CSPContent Security Policy
https://developer.mozilla.org/ja/Introducing_Content_Security_Policy
CSS
<!--	 インラインCSSは最新仕様では適用されない(未実装)	 --><style>	 body	 {	 font-size:	 200%;	 }	 </style><p	 style="font-size:	 200%;">I	 love...
/*	 これらを実行するとエラー(それ以降のコードも無視)	 */eval("alert(☺)");//	 call	 to	 eval("alert(☺)")	 blocked	 by	 CSPnew	 Function("alert(☺)"...
//	 httpd.conf,	 .htaccess	 の	 Header	 ディレクティブを使うHeader	 always	 append	 X-Content-Security-Policy	 	 	 	 	 	 	 	 	 	 	 	 ...
//	 全コンテンツを同一ドメインのみ	 (サブドメインも不可)X-Content-Security-Policy:	 default-src	 self//	 自身と	 dynamis.jp	 のサブドメインのみ許可X-Content-Sec...
//	 画像は任意サイト、メディアファイルと	 JS	 は指定サイトに限定X-Content-Security-Policy:	 default-src	 self;	 img-src	 *;	 	 (実際は改行なし)	 	 	 	 media...
//	 ブラウザから違反レポートを受け取る	 URL	 を指定する//	 JSON	 形式のレポートが届くのでサーバで処理するX-Content-Security-Policy:	 report-uri	 /csp/report//	 違反レポ...
https://github.com/bsterne/bsterne-tools/tree/master/csp-bookmarklet
Securitymore Secure Web...
http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/
//	 86400	 秒はこのサイトに	 HTTP	 での接続を禁止Strict-Transport-Security:	 max-age=86400//	 送信元サイトのサブドメインも	 HTTP	 接続を禁止するStrict-Transpo...
//	 Apache	 の設定でサイト全体に設定する場合:            Header	 always	 append	 X-Frame-Options	 SAMEORIGINFx 3.6.9   https://developer.m...
http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacking/
//	 dynamis.jp	 のページからはこのサイトの読み込み許可Access-Control-Allow-Origin:	 http://dynamis.jp//	 任意サイトからの読み込みを許可	 (公開	 API	 などに)Acces...
Privacymore Comfortable Web...
https://developer.mozilla.org/en/The_Do_Not_Track_Field_Guide
latest topichow about Amazon Silk?
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
Amazon Silk FAQ   : http://t.co/encBio73
Any Question ?
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Firefox Security Features
Upcoming SlideShare
Loading in...5
×

Firefox Security Features

6,718

Published on

Mozilla 勉強会@東京 6th
後半のセキュリティ機能紹介スライド

Published in: Technology, News & Politics
0 Comments
9 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
6,718
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
19
Comments
0
Likes
9
Embeds 0
No embeds

No notes for slide

Firefox Security Features

  1. 1. Security FeaturesSlides @ Mozilla Workshop @ Tokyo 6th by Tomoya ASAI (dynamis) last update on 2011.10.01 see also: http://dynamis.jp/r
  2. 2. Tomoya ASAI (dynamis) Mozilla Japan - Technical mktg. http://dynamis.jp/ http://facebook.com/dynamis http://twitter.com/dynamitter dynamis@mozilla-japan.orgdynamis ( dunamis)
  3. 3. Agenda about:Mozilla Content Security Policy Security Privacy latest topic
  4. 4. Facebook Twitter
  5. 5. about:mozilla.com brain .org heart
  6. 6. http://www.flickr.com/photos/intothefuzz/5577427601/
  7. 7. http://www.flickr.com/photos/intothefuzz/5578011308/
  8. 8. : http://www.mozilla.org/about/manifesto.ja.html
  9. 9. http://www.flickr.com/photos/intothefuzz/5577430083/
  10. 10. CSPContent Security Policy
  11. 11. https://developer.mozilla.org/ja/Introducing_Content_Security_Policy
  12. 12. CSS
  13. 13. <!-- インラインCSSは最新仕様では適用されない(未実装) --><style> body { font-size: 200%; } </style><p style="font-size: 200%;">I love lesser panda!</p><!-- インラインJavaScriptは実行されない(実装済み) --><script> alert("inline script"); </script><p onclick="alert(inline script)">Red panda!</p><!-- 外部 CSS, JavaScript はデフォルト許可 --><link rel="stylesheet" href="external.css"/><script src="external.js"></script> https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  14. 14. /* これらを実行するとエラー(それ以降のコードも無視) */eval("alert(☺)");// call to eval("alert(☺)") blocked by CSPnew Function("alert(☺)");// call to Function() blocked by CSPsetTimeout("alert(☺)", 0);setInterval("alert(☺)", 0);// call to setTimeout/setInterval blocked by CSP<!-- data: URL も無視される --><img id="dataimg" src="data:image/png;base64,AAAB ..."/>
  15. 15. // httpd.conf, .htaccess の Header ディレクティブを使うHeader always append X-Content-Security-Policy "default-src self"// ポリシーファイルを使用する場合 AddType も忘れずにAddType "text/x-content-security-policy" .cspHeader always append X-Content-Security-Policy "policy-uri /csp/policy.csp"
  16. 16. // 全コンテンツを同一ドメインのみ (サブドメインも不可)X-Content-Security-Policy: default-src self// 自身と dynamis.jp のサブドメインのみ許可X-Content-Security-Policy: default-src self *.dynamis.jp// secure.mozilla.jp からの読み込みは HTTPS のみX-Content-Security-Policy: default-src https://secure.mozilla.jp/ https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  17. 17. // 画像は任意サイト、メディアファイルと JS は指定サイトに限定X-Content-Security-Policy: default-src self; img-src *; (実際は改行なし) media-src video.tld audio.tld; (実際は改行なし) script-src script.tld;// 自身と *.mail.jp は全許可、他サイトは画像のみに制限// スクリプトなど指定していないものは default-src と同じX-Content-Security-Policy: defaut-src self *.mail.jp; (実際は改行なし) img-src * https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  18. 18. // ブラウザから違反レポートを受け取る URL を指定する// JSON 形式のレポートが届くのでサーバで処理するX-Content-Security-Policy: report-uri /csp/report// 違反レポートは送るが実行は実際にブロックしない場合// 既存サイトに必要なポリシーを調べるときに便利X-Content-Security-Policy-Report-Only: report-uri /csp/report https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  19. 19. https://github.com/bsterne/bsterne-tools/tree/master/csp-bookmarklet
  20. 20. Securitymore Secure Web...
  21. 21. http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/
  22. 22. // 86400 秒はこのサイトに HTTP での接続を禁止Strict-Transport-Security: max-age=86400// 送信元サイトのサブドメインも HTTP 接続を禁止するStrict-Transport-Security: max-age=86400; includeSubdomains http://code.google.com/intl/ja/apis/webfonts/docs/getting_started.html
  23. 23. // Apache の設定でサイト全体に設定する場合: Header always append X-Frame-Options SAMEORIGINFx 3.6.9 https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
  24. 24. http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacking/
  25. 25. // dynamis.jp のページからはこのサイトの読み込み許可Access-Control-Allow-Origin: http://dynamis.jp// 任意サイトからの読み込みを許可 (公開 API などに)Access-Control-Allow-Origin: * https://developer.mozilla.org/en/http_access_control
  26. 26. Privacymore Comfortable Web...
  27. 27. https://developer.mozilla.org/en/The_Do_Not_Track_Field_Guide
  28. 28. latest topichow about Amazon Silk?
  29. 29. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  30. 30. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  31. 31. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  32. 32. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  33. 33. Amazon Silk FAQ : http://t.co/encBio73
  34. 34. Any Question ?
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×