"A Hipster History of CORS" by Devdatta Akhawe (Strange Loop 2022)

แชร์
ฝัง
  • เผยแพร่เมื่อ 15 ก.ย. 2024
  • CORS makes no sense when you first look at it. The only way it does is if you understand the history of how we got here; this talk will go through the history of the web and CORS and how we ended up designing something like this. If you have always been confused by CORS, you will find this talk useful. We will also cover modern cross origin standards (corp, corp, corb, coop, coep, oh my) and how they can help securely design modern web applications.
    Devdatta Akhawe
    Director of Security, Figma
    @frgx
    Dev works at Figma, as part of the Figma Security team. Before that he spent nearly 6 years at Dropbox in various roles in the Dropbox Security team. He joined Dropbox after his PhD in Computer Science at UC Berkeley, where his research focused on web and browser security. He is also an editor on the Sub Resource Integrity specification. Other details, including how to really pronounce his name are at devd.me
    ------- Sponsored by: -------
    Stream is the # 1 Chat API for custom messaging apps. Activate your free 30-day trial to explore Stream Chat. gstrm.io/tsl

ความคิดเห็น • 7

  • @recklessroges
    @recklessroges ปีที่แล้ว +20

    Best CORS explanation I've ever seen.

  • @velociraptor5962
    @velociraptor5962 ปีที่แล้ว +8

    This makes so much sense. I still hate CORS though - especially when trying to get data from APIs in web apps. haha

  • @csours
    @csours ปีที่แล้ว +7

    Developers who learn about CORS: "I don't want to learn about CORS, I want my thing to work!"
    When you learn that CORS exists, it makes no sense. I read about 10 StackOverflow posts about it and 3 articles, and I still didn't understand it. I think it was the 3rd time that I had to deal with it I finally understood that it really doesn't fit my mental model of web security.

  • @kesavamallela
    @kesavamallela ปีที่แล้ว +9

    Some of the jokes were funny :) also, Go Pilani!

  • @willmcpherson2
    @willmcpherson2 ปีที่แล้ว +8

    The web is bandaids 😂

  • @Verrisin
    @Verrisin ปีที่แล้ว

    So, can the hacked process access cookies of another origin? I would guess not, so whatever it does doesn't seem too bad ... both CORB and CORP sound useless? What is special about browsers? Cannot the attacker just do that irrespective of a browser?
    - The point of a browser exploit is, you got inside the local network where I can make requests to servers that think they are behind a wall...
    - All "secret images" should require Authorization + Authentication anyway, so it's irrelevant some process can make requests, if it doesn't have any secret tokens.
    - What am I not getting?

    • @Verrisin
      @Verrisin ปีที่แล้ว

      Wait ... it can open an anyway, and all of this is EVEN MORE POINTLESS??? What?

ต่อไป
เล่นอัตโนมัติ
"AVIF: Creating a new image format in the open" by Jon Bauman (Strange Loop 2022)41:01"AVIF: Creating a new image format in the open" by Jon Bauman (Strange Loop 2022)
"AVIF: Creating a new image format in the open" by Jon Bauman (Strange Loop 2022)Strange Loop Conference
มุมมอง 13K
"A Distributed File System for Secure P2P Applications" by Brooklyn Zelenka (Strange Loop 2022)45:00"A Distributed File System for Secure P2P Applications" by Brooklyn Zelenka (Strange Loop 2022)
"A Distributed File System for Secure P2P Applications" by Brooklyn Zelenka (Strange Loop 2022)Strange Loop Conference
มุมมอง 4.8K
Same-origin policy: The core of web security @ OWASP Wellington1:04:43Same-origin policy: The core of web security @ OWASP Wellington
Same-origin policy: The core of web security @ OWASP WellingtonKirk Jackson
มุมมอง 31K
Brawl Stars Edit😈📕00:15Brawl Stars Edit😈📕
Brawl Stars Edit😈📕Kan Andrey
มุมมอง 43M
ฝาแฝดซ้อการ์ด 1 วัน ทำทุกอย่างตามหมด! ( ต้องอดข้าวจริง? )24:26ฝาแฝดซ้อการ์ด 1 วัน ทำทุกอย่างตามหมด! ( ต้องอดข้าวจริง? )
ฝาแฝดซ้อการ์ด 1 วัน ทำทุกอย่างตามหมด! ( ต้องอดข้าวจริง? )Ajumma Nammy
มุมมอง 507K
ไฮไลท์ฟุตบอล พรีเมียร์ลีก 2024/25 สัปดาห์ที่ 4 : เซาธ์แฮมป์ตัน พบ แมนเชสเตอร์ ยูไนเต็ด03:50ไฮไลท์ฟุตบอล พรีเมียร์ลีก 2024/25 สัปดาห์ที่ 4 : เซาธ์แฮมป์ตัน พบ แมนเชสเตอร์ ยูไนเต็ด
ไฮไลท์ฟุตบอล พรีเมียร์ลีก 2024/25 สัปดาห์ที่ 4 : เซาธ์แฮมป์ตัน พบ แมนเชสเตอร์ ยูไนเต็ดTrueVisionsOfficial
มุมมอง 1.2M
เอาชีวิตรอดจาก ปู่ผี ที่ปาร์ตี้บ้านเพื่อน!! (SPD RUN)27:53เอาชีวิตรอดจาก ปู่ผี ที่ปาร์ตี้บ้านเพื่อน!! (SPD RUN)
เอาชีวิตรอดจาก ปู่ผี ที่ปาร์ตี้บ้านเพื่อน!! (SPD RUN)SpriteDer SPD
มุมมอง 1.6M
"Outperforming Imperative with Pure Functional Languages" by Richard Feldman34:55"Outperforming Imperative with Pure Functional Languages" by Richard Feldman
"Outperforming Imperative with Pure Functional Languages" by Richard FeldmanStrange Loop Conference
มุมมอง 88K
Microservices with Kafka: ECommerce Example (.NET 8)34:51Microservices with Kafka: ECommerce Example (.NET 8)
Microservices with Kafka: ECommerce Example (.NET 8)Code Overdose
มุมมอง 4.1K
"Blueprints for a Universal Reasoning Machine" by Zenna Tavares (Strange Loop 2022)45:32"Blueprints for a Universal Reasoning Machine" by Zenna Tavares (Strange Loop 2022)
"Blueprints for a Universal Reasoning Machine" by Zenna Tavares (Strange Loop 2022)Strange Loop Conference
มุมมอง 9K
"Type-Driven API Design in Rust" by Will Crichton40:57"Type-Driven API Design in Rust" by Will Crichton
"Type-Driven API Design in Rust" by Will CrichtonStrange Loop Conference
มุมมอง 121K
"Cursorless: A spoken language for editing code" by Pokey Rule (Strange Loop 2023)39:26"Cursorless: A spoken language for editing code" by Pokey Rule (Strange Loop 2023)
"Cursorless: A spoken language for editing code" by Pokey Rule (Strange Loop 2023)Strange Loop Conference
มุมมอง 54K
"Software & The Game of Go" by David Nolen (Strange Loop 2023)34:08"Software & The Game of Go" by David Nolen (Strange Loop 2023)
"Software & The Game of Go" by David Nolen (Strange Loop 2023)Strange Loop Conference
มุมมอง 6K
What is CORS?13:22What is CORS?
What is CORS?A shot of code
มุมมอง 65K
Ruby on Rails: The Documentary44:16Ruby on Rails: The Documentary
Ruby on Rails: The DocumentaryHoneypot
มุมมอง 253K
"Performance Matters" by Emery Berger42:15"Performance Matters" by Emery Berger
"Performance Matters" by Emery BergerStrange Loop Conference
มุมมอง 482K
เอาชีวิตรอด 100วัน โดยเป็นแฟรี่ 🦋 Minecraft Hardcore (Full)1:02:12เอาชีวิตรอด 100วัน โดยเป็นแฟรี่ 🦋 Minecraft Hardcore (Full)
เอาชีวิตรอด 100วัน โดยเป็นแฟรี่ 🦋 Minecraft Hardcore (Full)Gibpuri Ch
มุมมอง 277K
[[OFFICIAL MV]] เอิ้นขวัญให้อ้าย- อ๊ะอาย สกุณาพร | ค่ายเพลงเป็นหนึ่ง05:34[[OFFICIAL MV]] เอิ้นขวัญให้อ้าย- อ๊ะอาย สกุณาพร | ค่ายเพลงเป็นหนึ่ง
[[OFFICIAL MV]] เอิ้นขวัญให้อ้าย- อ๊ะอาย สกุณาพร | ค่ายเพลงเป็นหนึ่งค่ายเพลงเป็นหนึ่ง OFFICIAL
มุมมอง 426K
ไม่นอนห้องอีกแล้ว00:33ไม่นอนห้องอีกแล้ว
ไม่นอนห้องอีกแล้วJapan and Friends
มุมมอง 154K
'ครูเบญ' สอบได้ที่ 1 แล้วชื่อหาย โต้ข่าว ยันยังไม่รับข้อเสนอเป็นครูอัตราจ้าง รอสอบใหม่06:45'ครูเบญ' สอบได้ที่ 1 แล้วชื่อหาย โต้ข่าว ยันยังไม่รับข้อเสนอเป็นครูอัตราจ้าง รอสอบใหม่
'ครูเบญ' สอบได้ที่ 1 แล้วชื่อหาย โต้ข่าว ยันยังไม่รับข้อเสนอเป็นครูอัตราจ้าง รอสอบใหม่เรื่องเล่าเช้านี้
มุมมอง 510K
GOLEIRO EXPULSO | CEARÁ X OPERÁRIO | BRASILEIRÃO SÉRIE B 2024 | #Shorts | ge.globo00:11GOLEIRO EXPULSO | CEARÁ X OPERÁRIO | BRASILEIRÃO SÉRIE B 2024 | #Shorts | ge.globo
GOLEIRO EXPULSO | CEARÁ X OPERÁRIO | BRASILEIRÃO SÉRIE B 2024 | #Shorts | ge.globoge
มุมมอง 14M
HIGHLIGHTS: Brazil v Cuba | FIFA Futsal World Cup Uzbekistan 202402:00HIGHLIGHTS: Brazil v Cuba | FIFA Futsal World Cup Uzbekistan 2024
HIGHLIGHTS: Brazil v Cuba | FIFA Futsal World Cup Uzbekistan 2024FIFA
มุมมอง 162K
คนไทยไม่ทิ้งกัน #ช่วยเหลือ #เกื้อกูล #แบ่งปัน #คนไทย00:59คนไทยไม่ทิ้งกัน #ช่วยเหลือ #เกื้อกูล #แบ่งปัน #คนไทย
คนไทยไม่ทิ้งกัน #ช่วยเหลือ #เกื้อกูล #แบ่งปัน #คนไทยNEWSPLUS
มุมมอง 333K
รุกแรงจนเสียอาการ! "นุ่น สุทธิภา" ชอบนะคะ ขอเบิ้ลได้ไหม | ซุป'ตาร์ พาตะลุย00:31รุกแรงจนเสียอาการ! "นุ่น สุทธิภา" ชอบนะคะ ขอเบิ้ลได้ไหม | ซุป'ตาร์ พาตะลุย
รุกแรงจนเสียอาการ! "นุ่น สุทธิภา" ชอบนะคะ ขอเบิ้ลได้ไหม | ซุป'ตาร์ พาตะลุยAmarin Variety
มุมมอง 1M