ウェブサイトや公開ウェブアプリケーションが安全であることを保証するのは重要なことです。コードの中の単純なバグが、個人情報の漏洩という結果を招くことがありますし、データを盗む方法を見つけようとしている悪い輩があちこちにいます。以下に紹介する記事では、コードの安全性を確保する際に助けとなる情報を提供しています。
- HTTP Public Key Pinning (HPKP)
- HTTP Public Key Pinning (HPKP) は、ウェブクライアントに特定の公開鍵をあるウェブサーバーに関連付けさせることで、偽造された証明書による中間者攻撃のリスクを減少させるためのセキュリティ機能です。
- HTTP Strict Transport Security
- HTTP の
Strict-Transport-Securityレスポンスヘッダー (しばしば HSTS と訳されます) は、ウェブサイトがブラウザーに HTTP の代わりに HTTPS を用いて通信を行うよう指示するためのものです。 - Transport Layer Security
- Transport Layer Security (TLS) を使用した接続のセキュリティは、選択されている暗号スイートとセキュリティ引数に強く依存します。この記事の目的は、クライアントとサーバーの間の機密性と完全性の通信を確実にするために、選択の参考になることです。
- サイトの安全化
- サイトをよりセキュアにする方法はいくつもあります。この記事はその方法を紹介するとともに他のより有益な記事へのリンクを掲載しています。
- サイト認証ボタン
- Firefox における機能の一つにサイト認証ボタンがあります。このボタンによって、ユーザーは自分が閲覧しているウェブサイトに関する詳しい情報を知ることができます。
- サブリソース完全性
- サブリソース完全性 (SRI) は、 (CDN などから) 取得したリソースが意図せず改ざんされていないかをブラウザーが検証するセキュリティ機能です。 SRI を利用する際には、取得したリソースのハッシュ値と一致すべきハッシュ値を指定します。
- 同一オリジンポリシー
- 同一オリジンポリシーとは、あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他のオリジンのリソースにアクセスできないように制限するものです。
- 安全でないパスワード
- このページでは、安全でないパスワードやパスワード窃盗にまつわるリスクをユーザーや開発者に警告するために、 Firefox が講じているセキュリティメカニズムについて詳しく説明しています。
- 安全なコンテキスト
- 安全なコンテキスト (Secure Context) とは、(HTTPS / TLS を介して) コンテンツが安全に配信され、安全ではないコンテキストとの通信の可能性が限られているという合理的な確信がある
Window、またはWorkerのことです。 - 情報セキュリティの基本
- 情報セキュリティの基本的な理解は、ソフトウェアやサイトが危険で脆弱なままで、資産を得たりその他の悪意の理由のために弱点を悪用されるのを防ぐのに役立ちます。これらの記事は知るべきことを学ぶのに役立ちます。
- 脆弱な署名アルゴリズム
- ディジタル証明書の電子署名に用いられるハッシュアルゴリズムの強度は、証明書のセキュリティにおいて核心的な要素です。この記事では、脆弱になったため、可能であれば避けるものと知られている署名アルゴリズムについて、いくらかの情報を提供します。
Securityコミュニティに参加してください
あなたの好きな方法でディスカッションに参加してください
- IRC: #security (さらに詳しく)
- Blog: Mozilla Security Blog
- Twitter: @mozsec