Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

browserに関するshoのブックマーク (32)

  • ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita

    Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻

    ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
    sho
    sho 2024/07/15
    まぁそのへんだろうなという内容だったが、検証といっしょに手法がまとまってるのは良き
  • 「広告ブロック拡張機能」に関してGoogleとMozillaが異なる方針を採用したことでブラウザの差別化が進むとの指摘

    ウェブサイト閲覧時のバナー広告や動画再生時に挟まれる広告などを抑制する、ウェブブラウザの広告ブロック拡張機能について、ChromeやEdgeのベースとなっているChromiumを開発するGoogleと、Firefoxを開発するMozillaがそれぞれ異なる方針を選んだことにより、両者の差別化が進むと海外メディアのThe Vergeが報じています。 Firefox and Chrome are squaring off over ad-blocker extensions - The Verge https://www.theverge.com/2022/6/10/23131029/mozilla-ad-blocking-firefox-google-chrome-privacy-manifest-v3-web-request 従来の広告ブロック拡張機能は、「webRequestAPI」とい

    「広告ブロック拡張機能」に関してGoogleとMozillaが異なる方針を採用したことでブラウザの差別化が進むとの指摘
    sho
    sho 2022/06/15
    ちょっと面白くなってきた
  • 牧歌的 Cookie の終焉 | blog.jxck.io

    Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る

    牧歌的 Cookie の終焉 | blog.jxck.io
  • ユーザーエージェント(UA)文字列は時代遅れ? ~「Google Chrome」で凍結・非推奨に/早ければ「Google Chrome 81」から警告【やじうまの杜】

    ユーザーエージェント(UA)文字列は時代遅れ? ~「Google Chrome」で凍結・非推奨に/早ければ「Google Chrome 81」から警告【やじうまの杜】
    sho
    sho 2020/01/20
    もう何年もUAに依存したコードなんて書いてないしなぁ。UA情報が必要だった時代とはもう違うよね。
  • Chrome(Canary) の Native File System API で ローカルファイルの読み書きをする - mizchi's blog

    ブラウザ上でローカルファイルの読み書きができる Native File System APIChromeCanary で実装された。 前々から欲しかった機能なので、自分が作ってる markdown preview ツールに実装してみた。 Intent to ship https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/noan0cgEBGQ/t8DuK8_hDwAJ 仕様 http://wicg.github.io/native-file-system/ 動かすとこんな感じ https://mdbuf.netlify.com/ で Meta+O/Meta+S のキーバインドを振ってる。 有効化 https://www.google.com/intl/ja/chrome/canary/ をダウンロード chrom

    Chrome(Canary) の Native File System API で ローカルファイルの読み書きをする - mizchi's blog
  • Chromeのストレージ永続化仕様を詳しく追ってみた - Qiita

    Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 1. はじめに ChromeやFirefoxで使えるストレージ永続化機能はご存知でしょうか。 https://developers.google.com/web/updates/2016/06/persistent-storage に Persistent Storage という題で詳しく触れられていますが、通常 LRU で消去されてしまう IndexedDB や CacheStorage の内容を永続化してくれる機能だと理解しています。 CacheStorage と Persistent Storage の組み合わせは強力で、理論上大

    Chromeのストレージ永続化仕様を詳しく追ってみた - Qiita
    sho
    sho 2019/06/26
    労作だ。ちゃんとしたドキュメントにフィードバックされるといいのだけど。あと、一度パーミッションを取得できたドメインが譲渡されたりすると問題になりそう。
  • 新たなブラウザ攻撃手法が見つかる--ユーザーがウェブページを離れた後も有効

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ユーザーが感染したウェブページを閉じたり、そこから離れたりした後でも、ユーザーのブラウザ内で悪意あるコードを実行できる新しいブラウザベースの攻撃がギリシャの学者らによって考え出された。 「MarioNet」と呼ばれるこの新しい攻撃は、ユーザーのブラウザから巨大なボットネットを構築するための扉を開く。研究者によると、これらのボットネットは、ブラウザ内での不正な仮想通貨マイニング(クリプトジャッキング)、DDoS攻撃、悪意あるファイルのホスティング/共有、分散型のパスワードクラッキング、プロキシネットワークでの不正リレー、クリック詐欺の宣伝、トラフィック統計のかさ増しに使用できる。 MarioNet攻撃は、ブラウザベースのボットネットを作成

    新たなブラウザ攻撃手法が見つかる--ユーザーがウェブページを離れた後も有効
  • Chrome デベロッパーツールの Console を使いこなす - Qiita

    技術書典5 で記事をさらにパワーアップさせたを書いたのでよかったらどうぞ Chromeデベロッパーツールを使いこなそう Console編 Chrome デベロッパーツールの Console には Web 画面を解析するための便利な機能が備わっています。 この便利機能を覚えておくと Web 画面からの情報抽出 や、 Chrome Extension 開発 がとても捗ります。 ※ 筆者はこの機能を利用して、 ウェブスクレイピング時のDOMセレクタを調べたり、 Q Accelerator などの Chrome 拡張機能を開発しています。 記事では、次の3つを解説します。 Console の便利機能 実際に Qiita の画面を解析する手順 リアルタイムで評価結果を返す Eager Evaluation (Google IO 2018 で発表されました) 便利機能(コマンドライン API

    Chrome デベロッパーツールの Console を使いこなす - Qiita
  • .devなどのTLDはChrome 63からHTTPSを強要される - Sexually Knowing

    その昔Powを使っていた名残で、開発時のループバックドメインに `.dev` をよく使っていたのだけれど、最近うまく動かなくて調べたところ、HTTPSで通信しようとして失敗していた。 アプリケーションでそんな設定した覚えないんだけどな……と訝しんでいたら、どうやらChrome (Chromium) に変更があり先読みするドメインのリストでHTTPSを強制する設定が追加されたらしい。 Chrome 63 forces .dev domains to HTTPS via preloaded HSTS `.dev` はGoogleによって買われたらしいという話も書いてあって初耳。 それはそうとどうすればいいかというと、テスト・開発用に予約されたTLDがあるのでそれを使うのがよいだろうと上記記事には書いてある。 `.test` や新たに追加された `.localhost` などがそれにあたるので、

    .devなどのTLDはChrome 63からHTTPSを強要される - Sexually Knowing
    sho
    sho 2017/12/29
    自身が保有するドメインに関してpreloaded HSTSを設定する権利(とその効果)は理解するものの、ブラウザの挙動としてなんかモヤモヤするなぁ。
  • Mozilla JapanはなぜWebDINOに?瀧田佐登子さんに聞くMozilla・オープンソースコミュニティ、そしてWebの未来

    Mozilla JapanはなぜWebDINOに?瀧田佐登子さんに聞くMozilla・オープンソースコミュニティ、そしてWebの未来 白石 俊平(HTML5 Experts.jp編集長) 編集長の白石です。 Web技術者であれば一度はその名を耳にしたことがあるであろうMozilla Japanが「WebDINO」と名前を変えた(プレスリリースへのリンク)ことを受け、WebDINOの代表である瀧田 佐登子さんにいろいろと話を伺ってきました。 瀧田さんはWikipediaにも紹介ページがあるように、日のWebシーンを裏で支え続けていた立役者。90年代の第一次ブラウザ戦争時代にはNetscapeの開発者として活躍し、その後Mozilla Japanを設立して、Mozillaコミュニティを日に根付かせた方でもあります。 記事では、WebDINOへの名称変更の裏側のみならず、Netscape時

    Mozilla JapanはなぜWebDINOに?瀧田佐登子さんに聞くMozilla・オープンソースコミュニティ、そしてWebの未来
    sho
    sho 2017/08/08
    言葉に出されていない裏がたくさんある話にみえるなw あと終盤のWebの未来の話はそれほどとんがっていないような。こういう予測をしている人は多い。
  • CSSのposition:stickyがすごく便利 | q-Az

    最近新しく追加された position の新しい値 sticky が場合によってはすごく便利なので記事を書いてみます。 対応ブラウザがまだあまり多くないので実用性は乏しいかもしれませんが、今まで JavaScript の力を借りなきゃ出来なかったことがたったの2行の CSS で出来てしまう魔法みたいな position の値です。 position: stickyMDN が説明が詳しいので貼っておきます。 参考:position - CSS|MDN 簡単に言うと「スクロールでその位置まで来たらそれ以降は fixed する」みたいな感じです。 サンプルこの記事内で「position: sticky」や「サンプル」など h2 要素に position: sticky をかけています。対応ブラウザであれば h2 要素が fixed しているはずです。 HTML<h2 class="h2-stic

    CSSのposition:stickyがすごく便利 | q-Az
    sho
    sho 2017/03/06
    使えないブラウザでは単に固定されないだけなので、どんどん使えばいいんじゃないかな。jsでやられるよりブラウザ側でコントロールしやすいし、歓迎だ。
  • NEC、住友生命の次期イントラネット基盤を受注し2018年度に稼働

    NECは2016年10月17日、住友生命保険からイントラネット基盤「あいキューブシステム」の次期システム構築を受注したと発表した。2018年度の稼働を予定する。次期システムでは、サーバー基盤の仮想化に次いで、SDN(ソフトウエア・デファインド・ネットワーク)の導入によってネットワーク基盤も仮想化する。 システム基盤は、サーバー、ネットワーク、ミドルウエアなどのIT資源を提供する「インフラ基盤」と、各種業務システムを利用するために必要な認証機能、運用監視機能、セキュリティなどの共通機能を提供する「あいキューブ基盤」で構成する。 次期システムのインフラ基盤では、以前から取り組んでいるサーバーの仮想化に続いて、新たにネットワーク基盤を仮想化する。利用するSDN製品は未定。サーバー仮想化基盤においては、物理サーバーのPCサーバー化を進める。現在は商用UNIXサーバーとPCサーバーが混在しているが

    NEC、住友生命の次期イントラネット基盤を受注し2018年度に稼働
    sho
    sho 2016/10/18
    脆弱性報奨金制度もいっしょにスタートして欲しいところ
  • 第4回 URLとオリジン | gihyo.jp

    URLは、Webブラウジングを開始するという意味でも、Webに関連する技術の入り口という意味でも、Webにおける起点そのものです。 攻撃者の視点から見ると、多くの場合、URLは攻撃者自身によってコントロール可能です。その複雑な構造から、プログラム内でURLをデータとして取り扱う際にまちがいが発生しやすく、セキュリティ上の問題点を引き起こしやすい格好のねらい目、攻撃の起点であるとも言えます。 また、Webアプリケーションにおいてセキュリティを確保するためには、特定のリソースがそれぞれのWebアプリケーション自身と同一の保護範囲にあるものなのか、あるいは第三者の用意した可能性があり信用できないものなのかを区別して取り扱う必要があります。この境界条件は、Webアプリケーション自身の動作しているURLを基とした「オリジン」と呼ばれる範囲によって決定されます。 今回は、JavaScriptでのセキュ

    第4回 URLとオリジン | gihyo.jp
  • Google Chrome 52で[BS]キーで戻れなくなった(ので拡張で復活させた) - ただのにっき(2016-07-21)

    Google Chrome 52で[BS]キーで戻れなくなった(ので拡張で復活させた) 52からそうなるという予告が出ていたので知っていたし、そもそもおれ、Back Spaceでページバックなんてしてないよ、と信じこんでいたので、Google Chromeのアップデートが出たら即適用したのだが。 なんと驚くべきことに、すぐに自分がBSキーでのページバックを多用していたことに気づくのだった(笑)。具体的にはページ遷移のある(SPAではない)Webゲームで、すばやくアイテムを消費するために同じページを行ったり来たりするんだけど、このとき無意識にBSキーを使っていた。いやー、無意識って怖いわ。 でも安心。そういう人のため(?)にちゃんと元の機能を復活させる拡張がある。Back To Back。これで良し。 追記 その後、Slackで編集中にBSキーを押したらページが前に戻ってしまった(笑)。

  • 第三次ブラウザ戦争がそろそろ閉幕します - latest log

    追記: このエントリを投稿してから3日後に Google から AMP が発表されました。AMP は 既存の HTML/CSS/JavaScript の機能を制限することで、ページの表示パフォーマンスを改善するものです。AMP で書かれたページは Google 検索ランキングにおける特典が受けられるといった情報もあります。AMPの実装方法

    第三次ブラウザ戦争がそろそろ閉幕します - latest log
    sho
    sho 2015/10/05
    まず、データを疑うべし。一般向けサイトだと英語でもまだIEが一番ってところも少なくないからな。
  • Link Bubble BrowserがかなりLifechanging - ただのにっき(2014-12-09)

    ■ Link Bubble BrowserがかなりLifechanging rebuild.fmの70回を聴いていたらLink Bubble BrowserというAndroid用のWebブラウザが紹介されていてかなり良さそうなので入れてみた。これはひさびさにヒットだなー。Androidならではの実装でじつに愉快だ。 Twitterなんかを見いていて、興味のあるリンクが出てきたらクリックすると、普通はChromeなどのブラウザが立ち上がってそのページがロードされるのを待つことになるんだけど、回線状態が悪いとかなり待たされて時間の無駄。しかしLink Bubbleをデフォルトブラウザにしておくと、こんなふうに画面にリンク先のWebページを表すアイコン(Link Bubble)がポップアップするだけでTwitterの操作をそのまま継続できる。 Link Bubbleの周囲のがローディングのプログ

  • IE11 で SPDY 利用を確認する

    Windows 8.1 の Internet Explorer 11 では Google が提唱している新しいプロトコル SPDY に対応した事は既に多くの記事などで知られていることだと思いますが、実際に ブラウザーが (従来の HTTPS ではなく) SPDY で通信している事を確認するにはどうすれば良いでしょうか。 誰でも思いつく方法としては、それぞれのブラウザーの開発者ツールを起動してネットワーク キャプチャを取得し、プロトコルが SPDY になっている事を確認する手順でしょう。これは Internet Explorer でも Chrome でも同様に利用できます。ただしページを開いた後で「このページは SPDY が使われているのかな?」と思った際にちょっと確認したいような場合、手順を踏んでもう一度ページを表示しなおす必要があるので手間がかかります。 Chrome ではそうしたニーズ

    IE11 で SPDY 利用を確認する
  • Internet Explorer での「ソース表示」

    Internet Explorer で表示中の Web ページのソースを表示するのに利用されるプログラムは、Internet Explorer 8 以降既定では Internet Explorer 自体に内蔵のビューアーになっています。これを以前のバージョンの Internet Explorer のようにメモ帳にしたり、あるいは別のテキスト エディターに変更する方法は、Microsoft MVP のさくしまさんのブログ「世の中は不思議なことだらけ」の『Windows 7 の Internet Explorer での「ソース表示」』に書かれているように、「F12 開発者ツール」を利用する事でした。 ところが Internet Explorer 11 では F12 開発者ツールの仕様が変更されて、「Internet Explorer ソースの表示のカスタマイズ」の機能が無くなってしまいました。

    Internet Explorer での「ソース表示」
  • Internet Explorer の歴史

    この記事は “Yet Another Internet Explorer Advent Calendar 2013” の1日目です。 まずはおさらいとして Internet Explorer の歴史をまとめてみましょう。WIKIPEDIA (英語版)などに良記事があるのですが、個人的な感想なども含めてまとめたいと思います。 なおスクリーンショットはこちらのサイトなどで見ることができますので、この記事では省略します。 Internet Explorer 1 Internet Explorer 1 は 1995年8月16日に公開され、8月24日にWindows 95 の発売と同時に、Windows 95 の有償のアドオンパックである「Plus! for Windows 95」に含まれる “Internet Jumpstart Kit” の一部として発売されました。ただし日では日語版 Win

    Internet Explorer の歴史
    sho
    sho 2013/12/02
  • Internet Explorer 10 では一時ファイル管理方法が変更されている

    「IE のキャッシュのオフライン調査について (改訂版)」 http://www.slideshare.net/hebikuzure/iecachedata-20130427-20103419 昨日の第4回「ブラウザー勉強会」で発表した内容で、上に掲載したリンクで資料スライドも公開していますが、こちらでも簡単にまとめを書いておきます。 Inetrnet Explorer 9 以前 Internet Explorer 5 以降、Internet Explorer 9 までのバージョンでは、インターネット一時ファイル (キャッシュ、サーバーからダウンロードしたコンテンツを再利用のため一時保存したもの) の管理方法は同じでした。これはよく知られているように、以下のような仕組みです。 インターネット オプションで表示される既定の一時ファイルの場所は以下のパス (Windows Vista 以降の場

    Internet Explorer 10 では一時ファイル管理方法が変更されている