#uruu_sushi

azu @azu_re

CVSSは評価ベースがドメインに依存しないという利点もある。 #uruu_sushi

azu @azu_re

オープンリダイレクターが高いCVSS #uruu_sushi

azu @azu_re

CVSS計算機 #uruu_sushi

azu @azu_re

#uruu_sushi "CVSS - Wikipedia, the free encyclopedia" en.wikipedia.org/wiki/CVSS

kyo_ago @kyo_ago

「報告者としては新規報告先とのやりとりは結構負担になるので、報告先が増えてもそんなに嬉しくない」 #uruu_sushi

azu @azu_re

UTF-7は脆弱性にしか使われない #uruu_sushi

azu @azu_re

MSEdgeは未だにUTF-7だけサポートしてるの… #uruu_sushi

azu @azu_re

安全にファイルダウンロードを実装するのは難しい #uruu_sushi

azu @azu_re

#uruu_sushi "471020 – Add X-Content-Type-Options: nosniff support to Firefox" bugzilla.mozilla.org/show_bug.cgi?i…

azu @azu_re

ServiceWorkerは危険なのかどうか? #uruu_sushi

azu @azu_re

SWのセキュリティ的な注意点は色々仕様 #uruu_sushi

azu @azu_re

SWにはプライバシー周りとかについても書いてある #uruu_sushi

kyo_ago @kyo_ago

「aboutなんとかに脆弱性がある例」 #uruu_sushi

azu @azu_re

プラグイン => SW 触れると問題が起きやすいかも。 #uruu_sushi

azu @azu_re

#uruu_sushi これの話 "Firefox OS is not helping the web — Anne’s Blog" annevankesteren.nl/2016/01/double…

azu @azu_re

SWをXSSから登録できるかどうか? 同じドメインにSWとして動作するJSがないといけないという前提 #uruu_sushi

kyo_ago @kyo_ago

「パーセントエンコードすればいいと思って」 #uruu_sushi

kyo_ago @kyo_ago

「ブラックリスト」 #uruu_sushi

azu @azu_re

SWは%2cとかパスに入ってるファイルは登録できないという仕様がある。 #uruu_sushi

kyo_ago @kyo_ago

「何かがあれば、何かがあるのでは」 #uruu_sushi

azu @azu_re

#uruu_sushi "Dropboxは "Service-Worker: script" ヘッダーをbanしてるらしい - teppeis のコメント / はてなブックマーク" b.hatena.ne.jp/entry/24655946…

azu @azu_re

HTMLホスティングをする環境 + SW の危険性? #uruu_sushi

azu @azu_re

ブラウザというサンドボックスを1つの企業とかが新しく実装できるわけないという話。 ウェブみたいなものをローカルで新しく作るやつとか。 #uruu_sushi

azu @azu_re

アプリウェブアプリの話 #uruu_sushi

azu @azu_re

Edgeというブラウザ #uruu_sushi