security

ブラウザのCross-Origin-Resource-Policy(CORP)と、Content-Security-Policy(CSP)について

このエントリーはイノベーター・ジャパン Advent Calendar 2021 9日目の記事です。 近年、情報漏えいやセキュリティに関するニュースが多い中、ブラウザも色々な状況を踏まえとても進化しています。 その中で、Cross-Origin-Resource-Policy(CORP)、Content-…

Laravel の脆弱性 CVE-2017-14775 の対処法

こんにちは。エンジニアの @localdisk です。2017/09/27に CVE-2017-14775 という Laravel の脆弱性が報告されました。CVE-2017-14775 はオートログイン処理に*1タイミング攻撃の脆弱性があるというものです。 *1:Remember me のアレ

AWS Certificate Managerでワイルドカード証明書を発行する際の注意点

こんにちは、@akase244 です。 Google Chromeさんの常時SSL推奨の動きはいよいよ待ったなしという印象を受けます。 というのも、今年に入ってChromeでフォームが設置してあるSSL未対応ページを開くと「このサイトへの接続は保護されていません」と表示される…