ウェブサイトや公開ウェブアプリケーションが安全であることを保証するのは重要なことです。コードの中の単純なバグが、個人情報の漏洩という結果を招くことがありますし、データを盗む方法を見つけようとしている悪い輩があちこちにいます。以下に紹介する記事では、コードの安全性を確保する際に助けとなる情報を提供しています。
- HTTP Public Key Pinning (HPKP)
- HTTP Public Key Pinning (HPKP) は、ウェブクライアントに特定の公開鍵をあるウェブサーバーに関連付けさせることで、偽造された証明書による中間者攻撃のリスクを減少させるためのセキュリティ機能です。
- HTTP Strict Transport Security
- HTTP Strict Transport Security(しばしば HSTS と略されます)は、HTTP の代わりに HTTPS を用いて通信を行うよう、Web サイトからブラウザにに伝達するためのセキュリティ機能です。
- Subresource Integrity
- Subresource Integrity (SRI) とは、 (CDN などから) 取得したファイルが意図せず改ざんされていないかをブラウザーが検証するセキュリティ機能です。 SRI を利用する際には、取得したファイルのハッシュ値と一致すべきハッシュ値を指定します。
- Transport Layer Security
- Transport Layer Security (TLS) を使用した接続のセキュリティは、選択されている暗号スイートとセキュリティ引数に強く依存します。この記事の目的は、クライアントとサーバーの間の機密性と完全性の通信を確実にするために、選択の参考になることです。
- サイトの安全化
- サイトをよりセキュアにする方法はいくつもあります。この記事はその方法を紹介するとともに他のより有益な記事へのリンクを掲載しています。
- サイト認証ボタン
- Firefox における機能の一つにサイト認証ボタンがあります。このボタンによって、ユーザーは自分が閲覧しているウェブサイトに関する詳しい情報を知ることができます。
- 同一オリジンポリシー
- 同一オリジンポリシーとは、あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他のオリジンのリソースにアクセスできないように制限するものです。同一オリジンポリシーはウェブのセキュリティにおける重要な仕組みであり、悪意ある行動を起こしかねないリソースの分離を目的としています。
- 安全でないパスワード
- HTTPS プロトコルは、ネットワーク上での盗聴(機密性)や改ざん(完全性)といった脅威から、ユーザのデータを保護できるように設計されています。 ユーザのデータを扱う Web サイトは、ユーザを攻撃者から守るために HTTPS を使うべきです。HTTPS を使わなければ、ユーザの情報(ログインの資格情報など)が盗まれるのは当たり前になってしまいます。このことを Firesheep が証明したのは有名です。
- 安全なコンテキスト
- 安全なコンテキスト (Secure Context) とは、(HTTPS / TLS を介して) コンテンツが安全に配信され、安全ではないコンテキストとの通信の可能性が限られているという合理的な確信がある
Window、またはWorkerのことです。 - 情報セキュリティの基本
- 情報セキュリティの基本的な理解は、ソフトウェアやサイトが危険で脆弱なままで、資産を得たりその他の悪意の理由のために弱点を悪用されるのを防ぐのに役立ちます。これらの記事は知るべきことを学ぶのに役立ちます。
- 脆弱な署名アルゴリズム
- ディジタル証明書の電子署名に用いられるハッシュアルゴリズムの強度は、証明書のセキュリティにおいて核心的な要素です。この記事では、脆弱になったため、可能であれば避けるものと知られている署名アルゴリズムについて、いくらかの情報を提供します。
Securityコミュニティに参加してください
あなたの好きな方法でディスカッションに参加してください
- IRC: #security (さらに詳しく)
- Blog: Mozilla Security Blog
- Twitter: @mozsec