今日の学び #46 2024-07-12

Tailwind CSS

TailwindにはPurgeCSSが使われていたのを知らなかった。

Tailwind CSS初心者が絶対ハマる落とし穴

Webkit + Basic認証のバグ

239944 – Safari does not persist the Authorization header on redirect

バグがあったのは2021年くらいだけど、これに似た現象が起きていたので、調べていてたどり着いた。
リクエスト投げたAPIが302リダイレクトを返してブラウザがリダイレクト先にAPIを投げ直すと、Basic認証ヘッダが抜け落ちて401エラーになるというバグ。

CTログを監視してる攻撃者がいる

https://media.defcon.org/DEF%20CON%2025/DEF%20CON%2025%20presentations/DEF%20CON%2025%20-%20Hanno-Boeck-Abusing-Certificate-Transparency-Logs.pdf

以下のツイートを見て読みました。
毎年ラスベガスで開かれるDEF CONというハッカーイベントで2017年にあったトークらしい。

この発表の件ですね。wordpressなどが初期設定前にやられてしまいます。https://t.co/XPaGSBoQtRhttps://t.co/sr6NmS0K92 https://t.co/5NysX01sbE

— Toshifumi Sakaguchi (@siskrn) July 11, 2024

話の本題は引用元ポストの通りで、これを防ぐにはWordPressとかのベンダーの対応、もしくは利用者側がすぐに.htaccessとかで保護しないといけない。