Weitere ähnliche Inhalte
Ähnlich wie Firefox Security Features (20)
Kürzlich hochgeladen (10)
Firefox Security Features
- 1. Security Features
Slides @ Mozilla Workshop @ Tokyo 6th
by Tomoya ASAI (dynamis)
last update on 2011.10.01
see also: http://dynamis.jp/r
- 3. Tomoya ASAI (dynamis)
Mozilla Japan - Technical mktg.
http://dynamis.jp/
http://facebook.com/dynamis
http://twitter.com/dynamitter
dynamis@mozilla-japan.org
dynamis ( dunamis)
- 4. Agenda
about:Mozilla
Content Security Policy
Security
Privacy
latest topic
- 25. <!-- インラインCSSは最新仕様では適用されない(未実装) -->
<style> body { font-size: 200%; } </style>
<p style="font-size: 200%;">I love lesser panda!</p>
<!-- インラインJavaScriptは実行されない(実装済み) -->
<script> alert("inline script"); </script>
<p onclick="alert('inline script')">Red panda!</p>
<!-- 外部 CSS, JavaScript はデフォルト許可 -->
<link rel="stylesheet" href="external.css"/>
<script src="external.js"></script>
https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 26. /* これらを実行するとエラー(それ以降のコードも無視) */
eval("alert('☺')");
// call to eval("alert('☺')") blocked by CSP
new Function("alert('☺')");
// call to Function() blocked by CSP
setTimeout("alert('☺')", 0);
setInterval("alert('☺')", 0);
// call to setTimeout/setInterval blocked by CSP
<!-- data: URL も無視される -->
<img id="dataimg" src="data:image/png;base64,AAAB ..."/>
- 28. // httpd.conf, .htaccess の Header ディレクティブを使う
Header always append X-Content-Security-Policy
"default-src 'self'"
// ポリシーファイルを使用する場合 AddType も忘れずに
AddType "text/x-content-security-policy" .csp
Header always append X-Content-Security-Policy
"policy-uri /csp/policy.csp"
- 29. // 全コンテンツを同一ドメインのみ (サブドメインも不可)
X-Content-Security-Policy: default-src 'self'
// 自身と dynamis.jp のサブドメインのみ許可
X-Content-Security-Policy: default-src 'self' *.dynamis.jp
// secure.mozilla.jp からの読み込みは HTTPS のみ
X-Content-Security-Policy: default-src https://secure.mozilla.jp/
https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 30. // 画像は任意サイト、メディアファイルと JS は指定サイトに限定
X-Content-Security-Policy: default-src 'self'; img-src *;
(実際は改行なし) media-src video.tld audio.tld;
(実際は改行なし) script-src script.tld;
// 自身と *.mail.jp は全許可、他サイトは画像のみに制限
// スクリプトなど指定していないものは default-src と同じ
X-Content-Security-Policy: defaut-src 'self' *.mail.jp;
(実際は改行なし) img-src *
https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 32. // ブラウザから違反レポートを受け取る URL を指定する
// JSON 形式のレポートが届くのでサーバで処理する
X-Content-Security-Policy: report-uri /csp/report
// 違反レポートは送るが実行は実際にブロックしない場合
// 既存サイトに必要なポリシーを調べるときに便利
X-Content-Security-Policy-Report-Only: report-uri /csp/report
https://developer.mozilla.org/en/Security/CSP/Using_Content_Security_Policy
- 36. // 86400 秒はこのサイトに HTTP での接続を禁止
Strict-Transport-Security: max-age=86400
// 送信元サイトのサブドメインも HTTP 接続を禁止する
Strict-Transport-Security: max-age=86400; includeSubdomains
http://code.google.com/intl/ja/apis/webfonts/docs/getting_started.html
- 37. // Apache の設定でサイト全体に設定する場合:
Header always append X-Frame-Options SAMEORIGIN
Fx 3.6.9 https://developer.mozilla.org/en/The_X-FRAME-OPTIONS_response_header