[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

555users がブックマーク コメント 25

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

Spectre の脅威とウェブサイトが設定すべきヘッダーについて

555 users blog.agektmr.com

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント25

  • 注目コメント
  • 新着コメント
kazkun
SpectreってJavascriptで悪用可能なレベルになつてたのか。すごいな。

その他
ms2sato
「同じプロセスの内容を推察できる」という脆弱性に対応する為に、攻撃者から自サービスのリソースを不用意に読み込ませなくする設定一覧。iframe、画像読み込み、ポップアップなど防ぐ。

その他
Shisama
Spectreを防ぐために、開発者が適用すべきHTTPヘッダについてわかりやすく解説されている。CORP、X-Frame-Options、COOP、X-Content-Type-Options: nosniffなど

その他
inductor
わかるんだけどCSPはちゃんと運用するのが難しすぎて人類には早すぎるって数年前からずっと言われているまま少なくとも自分の知る限りで改善はされてないと思うんだけど、Report-Only以外になんかいい方法ないのかな

その他
ryunosinfx
Twitterでかいくぐれるか確認するとベストな設定でカッチカチなので参考になる。

その他
hope_ring
当座はOSどころか各アプリケーションで面倒みないといけないの?ツライ。。。現状は対処できないCPUが山のように生きてるってことだよね。。。windows11の世代古いCPUサポートしない問題はコレだと思うんだけど

その他
NOV1975
20年前、こんな問題が起きるなんて想像もしてなかったけどな。ブラウザという存在の中に便利ツールと金を動かす取引ツールが汎用のものとして同居しているってのがもう無理なんじゃ。専用クライアント作ろう。

その他
send
めちゃくちゃいいまとめだ

その他
iekusup
ほー。

その他
tettekete37564
そもそも Spectre の原理が分からん。ハード的なアーキテクチャ由来の脆弱性なのにJSで実現できるというのもなんか不思議

その他
IGA-OS
Spectreに該当するCPU環境は、まだ数年は現役やろうしな・・・Webサービス側も対策せないかんのね

その他
rryu
サイト側で何かできるのと思ったら、オリジンを跨いだデータ参照が発生しなければブラウザが守ってくれるかもしれないから頑張って設定しようという感じっぽい。

その他
ryunosinfx
ryunosinfx Twitterでかいくぐれるか確認するとベストな設定でカッチカチなので参考になる。

2021年11月02日 リンク

その他
fashi
これ対策してても悪意のあるブラウザ拡張が侵入したら無意味になるから怖いよな

その他
aoki789
"Spectre"

その他
NOV1975
NOV1975 20年前、こんな問題が起きるなんて想像もしてなかったけどな。ブラウザという存在の中に便利ツールと金を動かす取引ツールが汎用のものとして同居しているってのがもう無理なんじゃ。専用クライアント作ろう。

2021年11月02日 リンク

その他
programmablekinoko
クライアント側のマイクロサービス諦めて自社ドメインの単一サーバークライアント方式に戻そう(提案)

その他
kabuquery
安全はつまらない

その他
inductor
inductor わかるんだけどCSPはちゃんと運用するのが難しすぎて人類には早すぎるって数年前からずっと言われているまま少なくとも自分の知る限りで改善はされてないと思うんだけど、Report-Only以外になんかいい方法ないのかな

2021年11月02日 リンク

その他
hope_ring
hope_ring 当座はOSどころか各アプリケーションで面倒みないといけないの?ツライ。。。現状は対処できないCPUが山のように生きてるってことだよね。。。windows11の世代古いCPUサポートしない問題はコレだと思うんだけど

2021年11月02日 リンク

その他
rgfx
つら。。

その他
suekunhello
メモ

その他
efcl
ウェブサイトでのクロスサイト/クロスオリジンに関連するセキュリティヘッダーについて。 Spectre後のサイドチャネル攻撃に関係するヘッダーの解説など

その他
youchin
半導体界隈が見たらまた騒ぎそうな命名だなおい(半導体設計ツールにそういうのがある)

その他
oldriver
後で読みます

その他
tamakiii
"Spectre"

その他
teramako
何故これが規定ではないのか?

その他
yarumato
"なぜcross-originからの悪意ある読み込みを防ぐウェブサイト設定が必要か。Spectre(2018)はCPUの脆弱性。同じブラウザに表示した別サイト情報が盗まれる可能性。ブラウザ上でのアクセス制御をHTTPレスポンスヘッダー設定で"

その他
kazkun
kazkun SpectreってJavascriptで悪用可能なレベルになつてたのか。すごいな。

2021年11月02日 リンク

その他
ms2sato
ms2sato 「同じプロセスの内容を推察できる」という脆弱性に対応する為に、攻撃者から自サービスのリソースを不用意に読み込ませなくする設定一覧。iframe、画像読み込み、ポップアップなど防ぐ。

2021年11月02日 リンク

その他
Shisama
Shisama Spectreを防ぐために、開発者が適用すべきHTTPヘッダについてわかりやすく解説されている。CORP、X-Frame-Options、COOP、X-Content-Type-Options: nosniffなど

2021年11月01日 リンク

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「Spectre の脅威と...」が注目されています。

気持ちをシェアしよう

ツイートする

Spectre の脅威とウェブサイトが設定すべきヘッダーについて

長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は... 長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ

ブックマークしたユーザー

  • murasuke2024年03月16日 murasuke
  • mizdra2024年01月26日 mizdra
  • techtech05212023年04月19日 techtech0521
  • donotthinkfeel2022年03月13日 donotthinkfeel
  • tetram2021年12月29日 tetram
  • sakef2021年12月16日 sakef
  • karahiyo2021年12月08日 karahiyo
  • yoshi-nkyma2021年12月04日 yoshi-nkyma
  • hachi8octo2021年11月25日 hachi8octo
  • myfirm2021年11月23日 myfirm
  • rch8502021年11月17日 rch850
  • soulja_boy2021年11月16日 soulja_boy
  • noriaky2021年11月15日 noriaky
  • gobramoon2021年11月12日 gobramoon
  • respectbookmark2021年11月10日 respectbookmark
  • kei21002021年11月08日 kei2100
  • etakaha2021年11月08日 etakaha
  • o_hiroyuki2021年11月06日 o_hiroyuki
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /