技術系のめも

技術系のめも

Attribution Reporting APIにおけるアトリビューションソース登録について

■Attribution Reporting APIとはAttribution Reporting APIは、サードパーティークッキーを使用せずに「コンバージョン」と「インプレッションやクリックなどのイベント」を結びつける広告の効果測定の仕組みです。ユーザーのプライバシーが保護され、個々のユーザーの情報が匿名化される点が特徴です。 このAttribution Reporting APIはGoogleが提唱するPrivacy Sandboxの一部として開発されました。Priv

技術系のめも

    • VAST規格におけるAttribution Reporting APIのサポートについて

      ■VAST規格とはVASTは「Video Ad Serving Template」の略で、動画広告を配信する際に使われる広告タグのテンプレート・プロトコルです。これにより、ビデオプレーヤーに広告を正しく再生するための設定が提供されます。 形式はXML形式で、以下のような形式を取ります。 <VAST version="4.0"> <Ad id="123"> <InLine> <AdSystem>Example Ad System</AdSystem>

      技術系のめも

      • [W3C]Clear Site Dataについて

        W3CのWeb Application Security WG が公開している、「Clear Site Data」というWorking Draftを解説していきます。英語の原文は以下です。 概要Clear-Site-Data ヘッダーはホストに関するローカルデータ(クッキー・ストレージ・キャッシュ)を削除するように指定することができます。 この機能が必要な理由ユーザーのローカル環境に保存されたデータはアプリケーションのパフォーマンスをあげたりと開発者とユーザー双方にとって

        技術系のめも

        • [W3C]Referrer Policyについて

          W3CのWeb Application Security WG が公開している、「Referrer Policy」というRecommendationを解説していきます。英語の原文は以下です。 概要ウェブサイトのreferrer policyの定め方や、外部に対するリクエストのRefererヘッダーに対してどんなポリシーを設定できるのかを説明している文書です そもそもRefererヘッダーとはRefererヘッダーはMDNのドキュメントを見ると以下のように記載があります。

          技術系のめも

        Attribution Reporting APIにおけるアトリビューションソース登録について

        技術系のめも

          [W3C] Truested Typesについて

          W3CのWeb Application Security WG が公開している、「Truested Types」というWorking Draftの大事なところを日本語でまとめていきます。英語の原文は以下です。 はじめにウェブアプリケーション上でユーザーからの入力を元に何かしらの操作をするのは脆弱性の元になります。Trusted TypesはDOMベースのクロスサイトスクリプティング(DOM XSS)のリスクを下げるための機能になります。 ポリシーTrusted Types

          技術系のめも

          [W3C] Truested Typesについて

          技術系のめも

          [Go]プログラミング言語の脆弱性を読む - CVE-2022-29804

          この記事ではGo言語に関連するCVEの内容を読んでみます。今回ピックアップしたのは2022年8月10日に報告された CVE-2022-29804 です。 前提知識go言語の filepath.Clean というパスを整形する関数があります。 挙動は以下のような形でドキュメント記載のルールに従ってパスを綺麗にしてくれます。 func main() { fmt.Println(filepath.Clean("./dir1/dir1-1/sample.txt")) fmt.Pr

          技術系のめも

          [Go]プログラミング言語の脆弱性を読む - CVE-2022-29804

          技術系のめも

          [W3C]Content Security Policy Level 2 の要点まとめ

          W3CのWeb Application Security WGが公開している、「Content Security Policy Level 2(コンテンツセキュリティポリシー レベル2)」というRecommendationの大事なところを日本語でまとめていきます。英語の原文は以下です。 はじめに本文書では、コンテンツセキュリティポリシーというXSSのようなインジェクション脆弱性を緩和させる仕組みを定義します。コンテンツセキュリティポリシーは、ウェブアプリケーションの作者が「

          技術系のめも

          [W3C]Content Security Policy Level 2 の要点まとめ

          技術系のめも

          [W3C]Subresource Integrity の要点まとめ

          W3CのWeb Application Security WGが公開している、「Subresource Integrity(サブリソース完全性)」というRecommendationの大事なところを日本語でまとめていきます。英語の原文は以下です。 概要本文書はユーザーエージェントが、取得したリソースに意図していない改変がないどうかを確認する仕組みを定義します。 はじめにウェブサイトはさまざまなオリジンからスクリプト・画像などを取得し、表示しています。その場合、以下のような攻

          技術系のめも

          [W3C]Subresource Integrity の要点まとめ

          技術系のめも

          [W3C PING]Self-Review Questionnaire: Security and Privacy の要点まとめ

          W3CのPrivacy Interest Group(PING)が公開している、「Self-Review Questionnaire: Security and Privacy(自己評価質問集: セキュリティーとプラバシー)」というGroup Noteの大事なところを日本語でまとめていきます。英語の原文は以下です。 この文書は、W3Cの中のグループが最初のPublic Working Draftのレビュー依頼をする前に、セキュリティー・プライバシーに関する確認事項をまとめた

          技術系のめも

          [W3C PING]Self-Review Questionnaire: Security and Privacy の要点まとめ

          技術系のめも

          [W3C PING]Mitigating Browser Fingerprinting in Web Specificationsの要点まとめ

          W3CのPrivacy Interest Group(PING)が公開している、「Mitigating Browser Fingerprinting in Web Specificationn(Web仕様におけるブラウザフィンガープリントの緩和について)」というGroup Noteの大事なところを日本語でまとめていきます。英語の原文は以下です。 概要ブラウザーフィンガープリントができてしまうことにより、ブラウザの設定等が第三者から参照されてしまうのは、ユーザーのプライバシー

          技術系のめも

          [W3C PING]Mitigating Browser Fingerprinting in Web Specificationsの要点まとめ

          技術系のめも