6/26-7/2@taise

• Rachid.A氏のNext.jsのCache Poisoningの記事を読んで手元で試した。
  Varyヘッダを尊重しないCDNがあることや、そのフレームワーク独自のヘッダを用いたCache Poisoningという攻撃ベクターの知見を得た。
• Next.jsの気持ちを理解するために実験用に実装し挙動を見て SSRとSSGの気持ちを知った。
• Method OverrideによるCache Poisoningの気持ちになったが既知の手法だった。
• 被害者にリンクを踏ませたときに、Locationヘッダの指定先にリダイレクトさせない方法を考えていたがタイミングよくwin.close()するくらいしか思いつかなかった。
• SameSite属性の2分間ルールを勘違いしていた。SameSite=Noneと全く同じ挙動になるわけではなく、POSTが許可されるという話だった。
• CloudFrontはCache-Controlの値に関係なくMinTTLの値だけcacheするという挙動を確認し震えた。
• ZoomのATOのブログを読んだ。
  CookieベースのXSSはCookie Tossingしか考えていなかったがCache Poisoningというベクターも考えられるという知見を得た。
• GraphQLをちゃんと理解しようという気持ちでチュートリアルをした。QueryもMutationもTypeであるという設計思想に触れいろいろ納得がいった。もう少し深掘りたい。
• mokusouがCSRFベースのtiming attackの話をしていて確かにとなった。
• Blog: Cross Window Forgery: A Web Attack Vectorを読んだ。自分で使えるほど理解してないのでまた時間を作って検証などをしたい。

6/26-7/2@mokusou

• cache poisoningの記事を読んだ
  • CDN + NextJSの組み合わせ。akamaiとかも見てみたい
  • CDN、設定によってVaryやらCache-Control無視するの仕様らしい、まだ遊びがいありそう
• Cross-Origin-Opener-Policyに遭遇。
  • same-origin-allow-popupsはよく分かっていない
  • mozillaのドキュメント
• CDNがcache-control無視する問題について調べた
  • Cloudflare: edge cacheを明示的に無視する設定にする必要あり。
  • Cloudfront: default ttlが1秒らしいのでよりミスりそう。
  • Next使ってて、かつno-storeでcache hitしてたら要注意。
• cross window forgery読んだ
• graphqlをリゾルバ含め実装、気持ちが少し理解できた
• graphqlを実装しているライブラリを読んで、did you mean blahblah?のエラーメッセージの出し方を調べれば、より効率的なpseudo introspectionができるのでは？