-
- いいね!1
Issei Naruta
@mirakui
フォントの CORS はセキュリティというより DRM のためのもの #nextwebconf405 #nextwebconf
2015-10-18 13:43:28
Naoki Shimizu
@deme0607
W3CとかIETFの仕様は網羅性が欠けている。ブラウザベンダーが行間を読んで実装するためそこに漏れがでたり、ChromeのCSPのように意図的に仕様に沿わない実装になっていることもある。 #nextwebconf405 #nextwebconf
2015-10-18 13:44:16
wata
@wata727_
特定文字だけCSSでフォントを読み込む仕様にできるために、文字列の取得がCSSだけでできるのか・・・よくそんなの思いつくなぁ #nextwebconf405
2015-10-18 13:45:59
水無月ばけら
@bakera
security consideration も中途半端なことがある。HSTSによるトラッキングの懸念はHSTSだけ見ていても分からない。 #nextwebconf #nextwebconf405
2015-10-18 13:46:45
kohei
@axross_
セキュリティホール、仕様の整備不足によるところが少なからずあるかもしれんって考えると、なるほどって感じだ #nextwebconf405 #nextwebconf
2015-10-18 13:47:37
s-ichikawa
@ichikawa_0829
アプリケーションレベルの脆弱性はみんな見つけちゃうから仕様レベルの脆弱性を探す #nextwebconf #nextwebconf405
2015-10-18 13:48:15
Naoki Shimizu
@deme0607
ブラウザのバグハンター、仕様の側から脆弱性を探す人と実装の側から探す人がいる。奥が深い世界… #nextwebconf405 #nextwebconf
2015-10-18 13:48:57
Sota SAITO / あなわる
@anoworl
nishimuraさんは仕様から入ってバグハントすることが多い。ブラウザのセキュリティアドバイザリ見ても仕様から入る人少なそうだから、ブルーオーシャンなのでは的な。 #nextwebconf405
2015-10-18 13:49:08
水無月ばけら
@bakera
ブラウザのバイナリを解析して、ほとんど使われていないマニアックな機能を発掘することも。 #nextwebconf #nextwebconf405
2015-10-18 13:49:15
kohei
@axross_
HSTS Super Cookies、CanaryだけどChromeだと認識できてなかった #nextwebconf405 #nextwebconf
2015-10-18 13:49:33
Naoki Shimizu
@deme0607
仕様レベルのバグハンティングはやっている人が少ない。ブルーオーシャンではないか。w #nextwebconf405 #nextwebconf
2015-10-18 13:49:37
HEAVEN ちゃん
@ikkou
仕様策定の話をしている裏で「仕様の策定に関わっても金にならない」という話が別のセッションで出ている面白さ #nextwebconf #nextwebconf405 #nextwebconf406
2015-10-18 13:51:56