Lukas Weichselbaum

@we1x

Security Researcher Opinions are my own.

weichselbaum.biz
ಜನವರಿ 2011 ಸಮಯದಲ್ಲಿ ಸೇರಿದ್ದಾರೆ
7 ಫೋಟೋಗಳು ಅಥವಾ ವೀಡಿಯೋಗಳು ಫೋಟೋಗಳು ಮತ್ತು ವೀಡಿಯೋಗಳು

ಟ್ವೀಟ್‌ಗಳು ಮತ್ತು ಪ್ರತಿಕ್ರಿಯೆಗಳು

@we1x ತಡೆಹಿಡಿಯಲಾಗಿದೆ

ನೀವು ಖಚಿತವಾಗಿಯೂ ಈ ಟ್ವೀಟ್‌ಗಳನ್ನು ನೋಡಲು ಬಯಸುವಿರಾ? ಟ್ವೀಟ್‌ಗಳನ್ನು ನೋಡುವುದು @we1x ಅವರನ್ನು ತಡೆತೆರವುಗೊಳಿಸುವುದಿಲ್ಲ.

  1. ಜನ 19

    Wrote up a summary of some of the content security policy related work we have been up to on

    12 replies 138 ಮರುಟ್ವೀಟಿಸುವಿಕೆಗಳು 177ಇಷ್ಟಗಳು
  2. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 20

    Very interesting read! Let's hope will fix dangling markup for us in the browser 😉

    1 reply 1 ಇಷ್ಟ
  3. ಜನ 18

    there's a lot more work to get done but with auto-noncing frameworks like soy adoption became much easier

  4. ಜನ 18

    e.g.

    1 reply
  5. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 18

    true for 2009. with strict-dynamic you can basically use the same CSP for most applications.

    1 reply
  6. ಜನ 11

    Edge now fully supports version 2 (incl. nonces). is on their radar.

    8 ಮರುಟ್ವೀಟಿಸುವಿಕೆಗಳು 10ಇಷ್ಟಗಳು
  7. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    just a few of these

  8. ಜನ 5

    dangling markup idea is too complex to explain on twitter :P

  9. ಜನ 5

    to prevent stealing nonces through APIs we could validate and remove the nonce in the scriptLoader constructor

    1 reply
  10. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    I think two different mitigations are getting mixed up here..

    1 reply
  11. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    banning data: is a good start, but still game over if base-tag pointing to an attacker controlled domain is injected.

  12. ಜನ 5

    : so this leaves us with either using base-uri 'none' or killing the base tag :P

    1 reply
  13. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    : svg is fun :)

    1 reply
  14. ಜನ 5

    : anyhow, allowing it in <head> only is probably not sufficient as a fix.

    3 replies
  15. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    : yeah, maybe I'm reading it wrong :)

    1 reply
  16. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    : the spec already says that it must be inside the <head> element.

    1 reply
  17. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    absolutely!

  18. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    :'s bypass can be easily addressed by adding base-uri 'none'. others are more difficult

    2 replies
  19. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಜನ 5

    well most of our ideas require you to code something :)

    1 reply
  20. ಗೆ ಪ್ರತ್ಯುತ್ತರವಾಗಿ
    ಡಿಸೆಂ 1,2016

    hard to come up with a useful for Edge anyway (no nonce or support). I'll add a warning to the Evaluator.

    1 reply 2ಇಷ್ಟಗಳು

@we1x ಅವರು ಇನ್ನೂ ಟ್ವೀಟ್ ಮಾಡಿಲ್ಲ.

ಲೋಡಿಂಗ್ ಸಮಯ ಸ್ವಲ್ಪ ತೆಗೆದುಕೊಳ್ಳುತ್ತಿರುವಂತೆನಿಸುತ್ತದೆ.

Twitter ಸಾಮರ್ಥ್ಯ ಮೀರಿರಬಹುದು ಅಥವಾ ಕ್ಷಣಿಕವಾದ ತೊಂದರೆಯನ್ನು ಅನುಭವಿಸುತ್ತಿರಬಹುದು. ಮತ್ತೆ ಪ್ರಯತ್ನಿಸಿ ಅಥವಾ ಹೆಚ್ಚಿನ ಮಾಹಿತಿಗೆ Twitter ಸ್ಥಿತಿಗೆ ಭೇಟಿ ನೀಡಿ.

    ಇದನ್ನೂ ಸಹ ನೀವು ಇಷ್ಟಪಡಬಹುದು

    ·