![](https://s.togetter.com/static/web/img/placeholder.gif)
フォントの CORS はセキュリティというより DRM のためのもの #nextwebconf405 #nextwebconf
2015-10-18 13:43:28![](https://s.togetter.com/static/web/img/placeholder.gif)
W3CとかIETFの仕様は網羅性が欠けている。ブラウザベンダーが行間を読んで実装するためそこに漏れがでたり、ChromeのCSPのように意図的に仕様に沿わない実装になっていることもある。 #nextwebconf405 #nextwebconf
2015-10-18 13:44:16![](https://s.togetter.com/static/web/img/placeholder.gif)
特定文字だけCSSでフォントを読み込む仕様にできるために、文字列の取得がCSSだけでできるのか・・・よくそんなの思いつくなぁ #nextwebconf405
2015-10-18 13:45:59![](https://s.togetter.com/static/web/img/placeholder.gif)
security consideration も中途半端なことがある。HSTSによるトラッキングの懸念はHSTSだけ見ていても分からない。 #nextwebconf #nextwebconf405
2015-10-18 13:46:45![](https://s.togetter.com/static/web/img/placeholder.gif)
セキュリティホール、仕様の整備不足によるところが少なからずあるかもしれんって考えると、なるほどって感じだ #nextwebconf405 #nextwebconf
2015-10-18 13:47:37![](https://s.togetter.com/static/web/img/placeholder.gif)
アプリケーションレベルの脆弱性はみんな見つけちゃうから仕様レベルの脆弱性を探す #nextwebconf #nextwebconf405
2015-10-18 13:48:15![](https://s.togetter.com/static/web/img/placeholder.gif)
ブラウザのバグハンター、仕様の側から脆弱性を探す人と実装の側から探す人がいる。奥が深い世界… #nextwebconf405 #nextwebconf
2015-10-18 13:48:57![](https://s.togetter.com/static/web/img/placeholder.gif)
nishimuraさんは仕様から入ってバグハントすることが多い。ブラウザのセキュリティアドバイザリ見ても仕様から入る人少なそうだから、ブルーオーシャンなのでは的な。 #nextwebconf405
2015-10-18 13:49:08![](https://s.togetter.com/static/web/img/placeholder.gif)
ブラウザのバイナリを解析して、ほとんど使われていないマニアックな機能を発掘することも。 #nextwebconf #nextwebconf405
2015-10-18 13:49:15![](https://s.togetter.com/static/web/img/placeholder.gif)
HSTS Super Cookies、CanaryだけどChromeだと認識できてなかった #nextwebconf405 #nextwebconf
2015-10-18 13:49:33![](https://s.togetter.com/static/web/img/placeholder.gif)
仕様レベルのバグハンティングはやっている人が少ない。ブルーオーシャンではないか。w #nextwebconf405 #nextwebconf
2015-10-18 13:49:37![](https://s.togetter.com/static/web/img/placeholder.gif)
仕様策定の話をしている裏で「仕様の策定に関わっても金にならない」という話が別のセッションで出ている面白さ #nextwebconf #nextwebconf405 #nextwebconf406
2015-10-18 13:51:56