Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Firefox Security Features

7,495 views

Published on

Mozilla 勉強会@東京 6th
後半のセキュリティ機能紹介スライド

Published in: Technology, News & Politics
  • Be the first to comment

Firefox Security Features

  1. 1. Security FeaturesSlides @ Mozilla Workshop @ Tokyo 6th by Tomoya ASAI (dynamis) last update on 2011.10.01 see also: http://dynamis.jp/r
  2. 2. Tomoya ASAI (dynamis) Mozilla Japan - Technical mktg. http://dynamis.jp/ http://facebook.com/dynamis http://twitter.com/dynamitter dynamis@mozilla-japan.orgdynamis ( dunamis)
  3. 3. Agenda about:Mozilla Content Security Policy Security Privacy latest topic
  4. 4. Facebook Twitter
  5. 5. about:mozilla.com brain .org heart
  6. 6. http://www.flickr.com/photos/intothefuzz/5577427601/
  7. 7. http://www.flickr.com/photos/intothefuzz/5578011308/
  8. 8. : http://www.mozilla.org/about/manifesto.ja.html
  9. 9. http://www.flickr.com/photos/intothefuzz/5577430083/
  10. 10. CSPContent Security Policy
  11. 11. https://developer.mozilla.org/ja/Introducing_Content_Security_Policy
  12. 12. CSS
  13. 13. <!-- インラインCSSは最新仕様では適用されない(未実装) --><style> body { font-size: 200%; } </style><p style="font-size: 200%;">I love lesser panda!</p><!-- インラインJavaScriptは実行されない(実装済み) --><script> alert("inline script"); </script><p onclick="alert(inline script)">Red panda!</p><!-- 外部 CSS, JavaScript はデフォルト許可 --><link rel="stylesheet" href="external.css"/><script src="external.js"></script> https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  14. 14. /* これらを実行するとエラー(それ以降のコードも無視) */eval("alert(☺)");// call to eval("alert(☺)") blocked by CSPnew Function("alert(☺)");// call to Function() blocked by CSPsetTimeout("alert(☺)", 0);setInterval("alert(☺)", 0);// call to setTimeout/setInterval blocked by CSP<!-- data: URL も無視される --><img id="dataimg" src="data:image/png;base64,AAAB ..."/>
  15. 15. // httpd.conf, .htaccess の Header ディレクティブを使うHeader always append X-Content-Security-Policy "default-src self"// ポリシーファイルを使用する場合 AddType も忘れずにAddType "text/x-content-security-policy" .cspHeader always append X-Content-Security-Policy "policy-uri /csp/policy.csp"
  16. 16. // 全コンテンツを同一ドメインのみ (サブドメインも不可)X-Content-Security-Policy: default-src self// 自身と dynamis.jp のサブドメインのみ許可X-Content-Security-Policy: default-src self *.dynamis.jp// secure.mozilla.jp からの読み込みは HTTPS のみX-Content-Security-Policy: default-src https://secure.mozilla.jp/ https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  17. 17. // 画像は任意サイト、メディアファイルと JS は指定サイトに限定X-Content-Security-Policy: default-src self; img-src *; (実際は改行なし) media-src video.tld audio.tld; (実際は改行なし) script-src script.tld;// 自身と *.mail.jp は全許可、他サイトは画像のみに制限// スクリプトなど指定していないものは default-src と同じX-Content-Security-Policy: defaut-src self *.mail.jp; (実際は改行なし) img-src * https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  18. 18. // ブラウザから違反レポートを受け取る URL を指定する// JSON 形式のレポートが届くのでサーバで処理するX-Content-Security-Policy: report-uri /csp/report// 違反レポートは送るが実行は実際にブロックしない場合// 既存サイトに必要なポリシーを調べるときに便利X-Content-Security-Policy-Report-Only: report-uri /csp/report https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
  19. 19. https://github.com/bsterne/bsterne-tools/tree/master/csp-bookmarklet
  20. 20. Securitymore Secure Web...
  21. 21. http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/
  22. 22. // 86400 秒はこのサイトに HTTP での接続を禁止Strict-Transport-Security: max-age=86400// 送信元サイトのサブドメインも HTTP 接続を禁止するStrict-Transport-Security: max-age=86400; includeSubdomains http://code.google.com/intl/ja/apis/webfonts/docs/getting_started.html
  23. 23. // Apache の設定でサイト全体に設定する場合: Header always append X-Frame-Options SAMEORIGINFx 3.6.9 https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header
  24. 24. http://blog.guya.net/2008/10/07/malicious-camera-spying-using-clickjacking/
  25. 25. // dynamis.jp のページからはこのサイトの読み込み許可Access-Control-Allow-Origin: http://dynamis.jp// 任意サイトからの読み込みを許可 (公開 API などに)Access-Control-Allow-Origin: * https://developer.mozilla.org/en/http_access_control
  26. 26. Privacymore Comfortable Web...
  27. 27. https://developer.mozilla.org/en/The_Do_Not_Track_Field_Guide
  28. 28. latest topichow about Amazon Silk?
  29. 29. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  30. 30. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  31. 31. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  32. 32. http://amazonsilk.wordpress.com/2011/09/28/introducing-amazon-silk/
  33. 33. Amazon Silk FAQ : http://t.co/encBio73
  34. 34. Any Question ?

×