seccamp_2022ブラウザ課題発表

ブラウザ課題発表セキュリティ・キャンプ 2022 Web セキュリティクラス市川拓磨 (takumma)

自己紹介

自己紹介市川拓磨（takumma）　鈴鹿工業高等専門学校電子情報工学科５年　Web フロントエンド・モバイル・デザイン　今年は SecHack365
のほうにも参加してたりします。　Twitter：@_takumma 　GitHub：takumma

話すことブラウザについて調べたり実装した中で発見したこと・面白いと思ったこと（なんかあまり理解しきれてなくてふわっとした話になっちゃったかも...）

話すこと 1 . ヘッダーの実装のはなし 2 . ステータスコードのはなし

ヘッダーの実装のはなし - 経緯経緯としてはf c 課題４の 302 Redirect の実装をしてた` c
302 の時は、Location ヘッダに書かれてる URL にリダイレクトする` c ヘッダを読むために、少しいじる必要があった。（やさしいコメント）

仕様ではどう定義されてるんだろう？

Fetch Standard を覗いてみると...？ g Headers クラスで定義されてる。（Not List<Header>V g Set-Cookie のことが考慮されてるe
g ヘッダーの状態を表して、変な処理から守る Guard があるe g Response から帰ってきたヘッダーの String を投げてまとめて作ろうと思ったけど、仕様をみると append とかしかないんだなぁ。 https://fetch.spec.whatwg.org/#headers-class

Chromium の実装とかをみると F Fetch Standard で定義されている以外のメソッドが便宜上のために作られてたりするB F 仕様で定義されてる関数名と違ったりもするB F
実装を見て気がついたけど、仕様にはちゃんと処理の手順が乗ってるB F でも割と中身はゆとりがあったりもする（処理を追加してもいい! F ガチガチに制約が固められている訳ではない？ https://source.chromium.org/chromium/chromium/src/+/main:third_party/blink/renderer/core/ fetch/headers.cc;l=152 https://fetch.spec.whatwg.org/#ref-for-concept-headers-guard⑦

話すこと 1 . ヘッダーの実装のはなし 2 . ステータスコードのはなし

ステータスコードのはなし a 302 の実装をやった派生で、他のステータスコードについても調べてみることにE a そういえば、418 I’m a teapod
はどうなったんだっけ& a 定義されてないステータスコードが返されたらどんな挙動になるんだろう？

ステータスコードって、どれくらいちゃんと定義されてるんだろう？

ステータスコードのはなしいろんな仕様や定義を調べてみると d ステータスコードは 100 ~ 599 の間で定義されてるP d 仕様されてないものは、「Unassigned」となってたP
d 範囲外のものに関しては、ブラウザでは RangeError が投げられるようになってたP d Chromium でもそういう実装が見られたP d 418 は unused になってる。 https://fetch.spec.whatwg.org/#headers-class https://www.iana.org/assignments/http-status-codes/http-status-codes.xml

いろんなステータスコードを返して、 Chrome の実際の挙動を調べてみた

50 の場合 50 で普通に受け取った（エラーも出なかった？どうして。。）

600 の場合ステータスコードは受け取るけど、エラーが出た。

599 の場合ステータスコードは受け取るけど、エラーが出た。 → Unassigned のものだけど、5XX なのでエラーとして出てるのかな？

めっちゃ大きくした場合 999999999... と、めっちゃ大きくしたら、2147483647 がブラウザで返された。（curl ではエラーがでた。）

-50 の場合 -50 で返却してるのに、ブラウザでは 200 と表示された！

0 の場合ステータスコードが表示されなかった！

全体的な感想

全体的な感想ステータスコードとかヘッダとかはで仕様で決まっているものが列挙型（Enum）で定義されているのかなと自分は思ってた。でも実際はs 特定の特殊文字をバリデーショ` 範囲を超えたらエラーを出す（範囲に収まっていれば許す）それによってs
フレームワークやライブラリ等で独自のヘッダを追 nginx や aws などで独自のステータスコードを追加 Web の自由度を担保しながらも、秩序が守られるように仕様が決められてるんだなあと感じた（ふんわり）。 https://en.wikipedia.org/wiki/List_of_HTTP_status_codes

seccamp_2022ブラウザ課題発表

seccamp_2022ブラウザ課題発表

takumma

More Decks by takumma

Other Decks in Technology

Featured

Transcript

ブラウザ課題発表セキュリティ・キャンプ 2022 Web セキュリティクラス市川拓磨 (takumma)

自己紹介

自己紹介市川拓磨（takumma）　鈴鹿工業高等専門学校電子情報工学科５年　Web フロントエンド・モバイル・デザイン　今年は SecHack365

話すことブラウザについて調べたり実装した中で発見したこと・面白いと思ったこと（なんかあまり理解しきれてなくてふわっとした話になっちゃったかも...）

話すこと 1 . ヘッダーの実装のはなし 2 . ステータスコードのはなし

話すこと 1 . ヘッダーの実装のはなし 2 . ステータスコードのはなし

ヘッダーの実装のはなし - 経緯経緯としてはf c 課題４の 302 Redirect の実装をしてた` c

仕様ではどう定義されてるんだろう？

Fetch Standard を覗いてみると...？ g Headers クラスで定義されてる。（Not List<Header>V g Set-Cookie のことが考慮されてるe

Chromium の実装とかをみると F Fetch Standard で定義されている以外のメソッドが便宜上のために作られてたりするB F 仕様で定義されてる関数名と違ったりもするB F

話すこと 1 . ヘッダーの実装のはなし 2 . ステータスコードのはなし

ステータスコードのはなし a 302 の実装をやった派生で、他のステータスコードについても調べてみることにE a そういえば、418 I’m a teapod

ステータスコードって、どれくらいちゃんと定義されてるんだろう？

ステータスコードのはなしいろんな仕様や定義を調べてみると d ステータスコードは 100 ~ 599 の間で定義されてるP d 仕様されてないものは、「Unassigned」となってたP

いろんなステータスコードを返して、 Chrome の実際の挙動を調べてみた

50 の場合 50 で普通に受け取った（エラーも出なかった？どうして。。）

600 の場合ステータスコードは受け取るけど、エラーが出た。

599 の場合ステータスコードは受け取るけど、エラーが出た。 → Unassigned のものだけど、5XX なのでエラーとして出てるのかな？

めっちゃ大きくした場合 999999999... と、めっちゃ大きくしたら、2147483647 がブラウザで返された。（curl ではエラーがでた。）

-50 の場合 -50 で返却してるのに、ブラウザでは 200 と表示された！

0 の場合ステータスコードが表示されなかった！

全体的な感想