Devdatta Akhawe: How I learnt to play in the (CSP) Sandbox

Автор: LocoMocoSec: Hawaii Product Security Conference

Загружено: 2018-04-27

Просмотров: 963

Описание: The typical way to isolate untrusted components on the web is to run them in an isolated domain. While very secure, "untrustedsite.com" is not the best place to host a lot of content like help center, forums, marketing pages. It looks bad and has a bunch of administrative overhead. Instead, an alternative is to use the CSP sandbox directive to isolate untrusted components in the "null" origin but still serve them from your main site. This is a lot easier to deploy and provides a powerful mitigation. This talk will cover how we deployed a CMS on www.dropbox.com without increasing our XSS risk; some interesting corner cases to think about; and a discussion on upcoming primitives like Suborigins that will make all of this a lot easier.

Не удается загрузить Youtube-плеер. Проверьте блокировку Youtube в вашей сети.
Повторяем попытку...

Devdatta Akhawe: How I learnt to play in the (CSP) Sandbox

Доступные форматы для скачивания:

Скачать видео

Информация по загрузке:

Скачать аудио

Похожие видео

Brian Campbell:

Brian Campbell: "Beyond Bearer: Token Binding as the Foundation for a More Secure Web"

John Melton: Starting an AppSec Program: An Honest Retrospective

John Melton: Starting an AppSec Program: An Honest Retrospective

Emily Schechter: The Trouble with URLs, and how Humans (Don't) Understand Site Identity

Emily Schechter: The Trouble with URLs, and how Humans (Don't) Understand Site Identity

Alex Chantavy: Cartography - Using Graphs to Improve and Scale Security Decision-Making

Alex Chantavy: Cartography - Using Graphs to Improve and Scale Security Decision-Making

Deep House Mix 2024 | Deep House, Vocal House, Nu Disco, Chillout Mix by Diamond #3

Deep House Mix 2024 | Deep House, Vocal House, Nu Disco, Chillout Mix by Diamond #3

Alex Smolen: Building Effective Security OKRs

Alex Smolen: Building Effective Security OKRs

Системные команды учебника SSH

Системные команды учебника SSH

We're All Addicted To Claude Code

We're All Addicted To Claude Code

Понимание GD&T

Я прошёл ЦРУ-тест начального уровня. Вычислил пароль по фото

Я прошёл ЦРУ-тест начального уровня. Вычислил пароль по фото

Уборщик испугался | Агрессивный бодибилдер против 32-килограммовой швабры в спортзале

Уборщик испугался | Агрессивный бодибилдер против 32-килограммовой швабры в спортзале

Чья броня крепче - Россия против США | Разрушительное ранчо

Чья броня крепче - Россия против США | Разрушительное ранчо

Torsten Lodderstedt: OAuth 2 Essentials

Torsten Lodderstedt: OAuth 2 Essentials

Top 50 SHAZAM⛄Лучшая Музыка 2025⛄Зарубежные песни Хиты⛄Популярные Песни Слушать Бесплатно #46

Top 50 SHAZAM⛄Лучшая Музыка 2025⛄Зарубежные песни Хиты⛄Популярные Песни Слушать Бесплатно #46

OSINT для новичков: найдите всё о юзернейме и фото с Sherlock и Google Dorks!

OSINT для новичков: найдите всё о юзернейме и фото с Sherlock и Google Dorks!

System Design Интервью с TeamLead Т-Банка Олегом Мифле

System Design Интервью с TeamLead Т-Банка Олегом Мифле

Учебное пособие по Amazon Bedrock AgentCore | Создание, развертывание и эксплуатация ИИ-агентов с...

Учебное пособие по Amazon Bedrock AgentCore | Создание, развертывание и эксплуатация ИИ-агентов с...

The programming language after Kotlin – with the creator of Kotlin

The programming language after Kotlin – with the creator of Kotlin

Музыка для работы - Deep Focus Mix для программирования, кодирования

Музыка для работы - Deep Focus Mix для программирования, кодирования

3X-UI в 2026 году: Новые протоколы и возможности VLESS Reality/TLS

3X-UI в 2026 году: Новые протоколы и возможности VLESS Reality/TLS