From 4de7bcbaa98a30058a04f1ba0ee21b9b0ffec786 Mon Sep 17 00:00:00 2001
From: x270 <42441861+x270@users.noreply.github.com>
Date: Mon, 26 Apr 2021 23:18:44 +0900
Subject: Docs/Web/Security の修正 (#563)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
* Docs/Web/Security の修正
TLSが「Transport security layer」と記載されていたため、正しく修正。
security, layerの頭文字が小文字なのは、英語版との統一のため。
併せて、「Web ブラウザ」「Web 開発者」「Web サイト」の「Web」を「ウェブ」へ変更。
* Update index.html
---
files/ja/web/security/index.html | 39 ++++++++++++++++++---------------------
1 file changed, 18 insertions(+), 21 deletions(-)
(limited to 'files/ja/web/security')
diff --git a/files/ja/web/security/index.html b/files/ja/web/security/index.html
index 4db17fb313..f7c86e751c 100644
--- a/files/ja/web/security/index.html
+++ b/files/ja/web/security/index.html
@@ -1,5 +1,5 @@
---
-title: Web セキュリティ
+title: ウェブセキュリティ
slug: Web/Security
tags:
- Landing
@@ -9,7 +9,7 @@ tags:
translation_of: Web/Security
---
-
Web サイトや公開 Web アプリケーションが安全であることを保証するのは重要なことです。コードの中の単純なバグが、個人情報の漏洩という結果を招くことがありますし、データを盗む方法を見つけようとしている悪い輩があちこちにいます。以下に紹介するセキュリティ方面の記事では、コードの安全性を確保する際に助けとなる情報を提供しています。
+
ウェブサイトや公開ウェブアプリケーションが安全であることを保証するのは重要なことです。コードの中の単純なバグが、個人情報の漏洩という結果を招くことがありますし、データを盗む方法を見つけようとしている悪い輩があちこちにいます。以下に紹介するセキュリティ方面の記事では、コードの安全性を確保する際に助けとなる情報を提供しています。
コンテンツセキュリティ
@@ -22,24 +22,24 @@ translation_of: Web/Security
コネクションセキュリティ
- - Transport security layer (TLS)
- - Transport Layer Security ({{Glossary("TLS")}}) プロトコルは、ネットワークで結ばれた二つのアプリケーションや端末が、私的にかつ強固に情報交換するための標準です。 TLS を使用するアプリケーションは、セキュリティ引数を選択することができ、これは、データのセキュリティと信頼性に大きな影響を与える可能性があります。この記事では、 TLS の概要と、コンテンツを保護するために必要な決定の種類について説明します。
+ - Transport layer security (TLS)
+ - Transport Layer Security ({{Glossary("TLS")}}) プロトコルは、ネットワークで結ばれた二つのアプリケーションや端末が、私的にかつ強固に情報交換するための標準です。TLS を使用するアプリケーションは、セキュリティ引数を選択することができ、これは、データのセキュリティと信頼性に大きな影響を与える可能性があります。この記事では、TLS の概要と、コンテンツを保護するために必要な決定の種類について説明します。
- HTTPS
- - HTTPS (HyperText Transfer Protocol Secure) は、 {{Glossary("HTTP")}} プロトコルの暗号化バージョンです。 {{Glossary("SSL")}} または {{Glossary("TLS")}} を使用して、クライアントとサーバー間のすべての通信を暗号化します。この安全な接続により、クライアントは意図したサーバーに接続されていることを確認し、機密データを交換することができます。
+ - HTTPS (HyperText Transfer Protocol Secure) は、{{Glossary("HTTP")}} プロトコルの暗号化バージョンです。{{Glossary("SSL")}} または {{Glossary("TLS")}} を使用して、クライアントとサーバー間のすべての通信を暗号化します。この安全な接続により、クライアントは意図したサーバーに接続されていることを確認し、機密データを交換することができます。
- HTTP Strict-Transport-Security
- Strict-Transport-Security: は HTTP のヘッダーで、Web サイトを HTTPS を使用してのみアクセスできるようにするものです。Strict-Transport-Security: は HTTP のヘッダーで、ウェブサイトを HTTPS を使用してのみアクセスできるようにするものです。- 電子証明書の透明性
- 電子証明書の透明性は、証明書の誤発行を防止し、監視するために設計されたオープンなフレームワークです。新しく発行された証明書は、公開されている、多くの場合独立した CT ログに「記録」され、発行された TLS 証明書の追加のみの暗号的に保証された記録を維持します。
- 混在コンテンツ
- HTTPS のページの中に通常の平文の HTTP で送られてくるコンテンツが含まれている場合、混在コンテンツと呼ばれます。このようなページは部分的にしか暗号化されておらず、盗聴者や中間者攻撃者が暗号化されていないコンテンツにアクセスできてしまいます。
- - 混在コンテンツでブロックされるWeb サイトを修正するには
- - Web サイトを HTTPS で配信している場合、ページ上にある 能動的な混在コンテンツはすべて既定でブロックされます。結果として、ユーザーからはその Web サイトが壊れているように見えるかもしれません (iframe やプラグインが読み込まれないなど)。一方、受動的な混在コンテンツは既定で表示されますが、このようなコンテンツをブロックするようにユーザーが設定することも可能です。このページでは、Web 開発者として知っておくべきことを説明します。
+ - 混在コンテンツでブロックされるウェブサイトを修正するには
+ - ウェブサイトを HTTPS で配信している場合、ページ上にある 能動的な混在コンテンツはすべて既定でブロックされます。結果として、ユーザーからはそのウェブサイトが壊れているように見えるかもしれません (iframe やプラグインが読み込まれないなど)。一方、受動的な混在コンテンツは既定で表示されますが、このようなコンテンツをブロックするようにユーザーが設定することも可能です。このページでは、ウェブ開発者として知っておくべきことを説明します。
- 安全なコンテキスト
- 安全なコンテキスト (Secure Context) とは、(HTTPS/TLS を介して) コンテンツが安全に配信され、安全ではないコンテキストとの通信の可能性が限られているという合理的な確信がある
Window、または Worker のことです。多くの Web API が安全なコンテキストでのみ利用可能です。安全なコンテキストの主目的は、{{interwiki("wikipedia", "中間者攻撃", "中間者攻撃者")}}が被害者に更なる危険にさらす可能性がある強力な API にアクセスするのを防ぐことにあります。
- 安全なコンテキストに制限されている機能
- - このリファレンスは、安全なコンテキストでのみ使用できるWeb プラットフォーム機能の一覧です。
+ - このリファレンスは、安全なコンテキストでのみ使用できるウェブプラットフォーム機能の一覧です。
- 脆弱な署名アルゴリズム
- - {{Glossary("Digital certificate", "ディジタル証明書")}}の{{Glossary("Signature/Security", "電子署名")}}に用いられるハッシュアルゴリズムの強度は、証明書のセキュリティにおいて核心的な要素です。この記事では、脆弱になったため、可能であれば避けるものと知られている署名アルゴリズムについて、いくらかの情報を提供します。
+ - {{Glossary("Digital certificate", "デジタル証明書")}}の{{Glossary("Signature/Security", "電子署名")}}に用いられるハッシュアルゴリズムの強度は、証明書のセキュリティにおいて核心的な要素です。この記事では、脆弱になったため、可能であれば避けるものと知られている署名アルゴリズムについて、いくらかの情報を提供します。
- 301 および 302 レスポンスコードによるリダイレクト
- 執筆予定
@@ -48,7 +48,7 @@ translation_of: Web/Security
- HTTP Cookie の使用
- - HTTP Cookie (ウェブ Cookie、ブラウザ Cookie) は、サーバーがユーザーのWeb ブラウザに送信する小さなデータであり、ブラウザに保存されて次のリクエストと共に同じサーバーへ返送されます。一般的には、二つのリクエストが同じブラウザから送信されたものであるかを知るために使用されます。例えば、ユーザーのログイン状態を維持することができます。
+ - HTTP Cookie (ウェブ Cookie、ブラウザー Cookie) は、サーバーがユーザーのウェブブラウザーに送信する小さなデータであり、ブラウザーに保存されて次のリクエストと共に同じサーバーへ返送されます。一般的には、二つのリクエストが同じブラウザーから送信されたものであるかを知るために使用されます。例えば、ユーザーのログイン状態を維持することができます。
- ローカルストレージ
Window オブジェクトの {{domxref("Window.localStorage")}} プロパティは、サーバーがクライアントにセッションを通して存在するデータを格納する一つの手段です。
@@ -68,24 +68,24 @@ translation_of: Web/Security
- 同一オリジンポリシー
- - 同一オリジンポリシーとは、あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他の{{Glossary("origin", "オリジン")}}のリソースにアクセスできないように制限するものです。同一オリジンポリシーは Web のセキュリティにおける重要な仕組みであり、悪意ある行動を起こしかねないリソースの分離を目的としています。
+ - 同一オリジンポリシーとは、あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他の{{Glossary("origin", "オリジン")}}のリソースにアクセスできないように制限するものです。同一オリジンポリシーはウェブのセキュリティにおける重要な仕組みであり、悪意ある行動を起こしかねないリソースの分離を目的としています。
- サブリソース完全性
- - サブリソース完全性 (SRI) は、 ({{Glossary("CDN")}} などから) 取得したリソースが意図せず改ざんされていないかをブラウザが検証するセキュリティ機能です。 SRI を利用する際には、取得したリソースのハッシュ値と一致すべきハッシュ値を指定します。
+ - サブリソース完全性 (SRI) は、({{Glossary("CDN")}} などから) 取得したリソースが意図せず改ざんされていないかをブラウザーが検証するセキュリティ機能です。SRI を利用する際には、取得したリソースのハッシュ値と一致すべきハッシュ値を指定します。
- HTTP の Access-Control-Allow-Origin
Access-Control-Allow-Origin レスポンスヘッダーは、指定された{{glossary("origin", "オリジン")}}からのリクエストを行うコードでレスポンスが共有できるかどうかを示します。- HTTP X-Content-Type-Options
-
-
X-Content-Type-Options は HTTP のレスポンスヘッダーで、 {{HTTPHeader("Content-Type")}} ヘッダーで示された MIME タイプを変更せに従うべきであることを示すために、サーバーによって使用されるマーカーです。これにより、MIME タイプのスニッフィングを抑止することができます。すなわち、Web マスターが自分が何をしているかを分かっていると言う手段です。
+ X-Content-Type-Options は HTTP のレスポンスヘッダーで、{{HTTPHeader("Content-Type")}} ヘッダーで示された MIME タイプを変更せずに従うべきであることを示すために、サーバーによって使用されるマーカーです。これにより、MIME タイプのスニッフィングを抑止することができます。すなわち、Web マスターが自分が何をしているかを分かっていると言う手段です。
クリックジャックからの保護
-クリックジャッキングでは、ユーザーがだまされて、ユーザーが期待するもの以外のアクションを実行するUI要素をクリックします。
+クリックジャッキングでは、ユーザーがだまされて、ユーザーが期待するもの以外のアクションを実行するUI要素をクリックします。
- HTTP X-Frame-Options
- X-Frame-Options HTTP レスポンスヘッダーを使用して、ブラウザが <frame>, <iframe>, <embed> または <object> でページをレンダリングできるかどうかを示すことができます。サイトはこれを使用してコンテンツが他のサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます。X-Frame-Options HTTP レスポンスヘッダーを使用して、ブラウザーが <frame>, <iframe>, <embed> または <object> でページをレンダリングできるかどうかを示すことができます。サイトはこれを使用してコンテンツが他のサイトに埋め込まれないようにすることで、クリックジャッキング攻撃を回避できます。- CSP: frame-ancestors
- HTTP {{HTTPHeader("Content-Security-Policy")}} (CSP)
frame-ancestors ディレクティブは、 {{HTMLElement("frame")}}, {{HTMLElement("iframe")}}, {{HTMLElement("object")}}, {{HTMLElement("embed")}}, または {{HTMLElement("applet")}} を使用して、ページを埋め込むことができる有効な親を指定します。
@@ -95,8 +95,8 @@ translation_of: Web/Security
- 安全でないパスワード
- HTTP 経由でログインフォームを送信することは、ユーザのパスワードを抽出するために使用できる様々な攻撃があるため、特に危険です。ネットワーク盗聴者は、ネットワークを盗聴したり、転送中に提供されたページを変更したりすることで、ユーザのパスワードを盗むことができます。
- - プライバシーと :visited セレクタ
- - 2010年頃までは、CSS {{cssxref(":visited")}} セレクタにより、Web サイトがユーザーの閲覧履歴を明らかにし、そのユーザーがどのサイトを訪問したかを把握することができました。この問題を軽減するために、ブラウザは訪問したリンクから取得できる情報量を制限しています。
+ - プライバシーと :visited セレクター
+ - 2010年頃までは、CSS {{cssxref(":visited")}} セレクターにより、ウェブサイトがユーザーの閲覧履歴を明らかにし、そのユーザーがどのサイトを訪問したかを把握することができました。この問題を軽減するために、ブラウザーは訪問したリンクから取得できる情報量を制限しています。
@@ -217,9 +217,6 @@ translation_of: Web/Security
{{Glossary("TOFU")}}
-
-
-
-
{{Glossary("TLS")}}
--
cgit v1.2.3-54-g00ecf