フロントエンドカンファレンス沖縄 2023 の登壇資料です

HTTP/3入門 第1章進化するHTTPの歩み ～ HTTP/1.1とHTTP/2をおさらいし⁠⁠、HTTP/3の基本を知る この特集記事は2021年6月24日に発売されたWEB+DB PRESS Vol.123に掲載された特集1「HTTP/3入門」を再掲したものです。 先日2022年6月にHTTP/3を含むHTTP関連の仕様が正式なRFCとなりました。ここではRFCの正式リリースに伴い、いち早く変更点を抑え、囲みボックスを用いた加筆解説でわかりやすくお伝えしております。 特集のはじめに HTTP（Hypertext Transfer Protocol）の最新版であるHTTP/3が登場しました。HTTP/3では、より安全で速い通信が行えます。本特集では、今までのHTTPにあった課題と、HTTP/3で課題をどのように解決し、改善が行われたかを解説します。 本章では、HTTPそのものと各バージ

IETFのQUICワーキンググループはHTTP/3の標準化プロセスを完了し、「RFC 9114」として発表しました。 HTTP/3 has been published as an RFC. https://t.co/jdsUHy9FKD — IETF QUIC WG (@quicwg) June 6, 2022 HTTPはWorld Wide Webを開発したティム・バーナーズ＝リーによって1990年に最初のバージョンが作られました。 その後、1996年にHTTP/1.0がIETFによってRFC化され、1999年にHTTP/1.1へアップデート。2015年2月には初めてのメジャーバージョンアップとなるHTTP/2がRFCとなりました。HTTP/3は7年ぶりのメジャーアップデートと言えます。 HTTP/3では高速な通信を実現するために、HTTPのトランスポート層を従来のTCPからQUICに

Usage:https://http.cat/[status_code]Note: If you need an extension at the end of the URL just add .jpg.

same-site/cross-site, same-origin/cross-origin の違いを曖昧なままにしておくと、分からないことや誤解がモリモリ増えていきますので、早いうちに定義を覚えちゃいましょう。 元記事はこちら: Origin とは Origin は scheme (http とか　https とか)、hostname、port の組み合わせを指す。same-origin と言った場合、これらすべてが一致するものを示している。一部でも異なるものはすべて cross-origin。 Origin A Origin B 解説

そもそもHTTP/2やHTTP/3とは何か？ HTTP/2やHTTP/3とは、例えばあなたが今利用しているパソコンと、本コラムのデータが保存されているサーバーとの通信をやり取りするための「ルール」のようなものです。HTTP/3では、HTTP/2よりも通信効率が上がりWebサイトの表示速度が速くなると言われています。「HTTP/2」について知りたい方は、当コラムの『「HTTP/2」とは？あなたのサイトを高速化する次世代プロトコルに迫る』をご覧ください。 「SSLコラムなのにどうしてHTTP/3の記事を書いているんだろう？」と思う方もいるかもしれませんが、「HTTP/3」はSSL/TLSの利用が前提となっているため、SSLサーバー証明書（以下、SSL証明書）とは切っても切れない関係なのです。さて、本題に戻りますが「本当にWebサイトの表示が速くなるの？」「どうして速くなるの？」「対応を検討した

なんらかの理由でWebサーバを停止する場合に、処理中のPOSTリクエストをそのまま別のサーバで引き継げるようにする「HTTP Partial POST Replay」という仕様がFacebookのAlan Frindell氏から提出されています (HTTP Workshopの資料はこちら)。 スポットインスタンスを利用していたり、サーバの設定を変えて再起動したい場合、新しいリクエストは受け付けないようにし、すでに来ているリクエストのみ処理をするのは一般的です。それでも大きなファイルをアップロードしているPOSTリクエストは処理が終わるまで時間がかかってしまう場合がありあります。 やむをえずPOSTリクエストの処理を中断してしまうと、ユーザは再度大きなファイルをアップロードしなおす必要があり、とてもストレスがかかります。 「HTTP Partial POST Replay」では、ユーザの接続

昨日の夜のことですが、2017年に発行し好評いただいている書籍『Real World HTTP』のエッセンスを凝縮した、無料の電子書籍『Real World HTTP ミニ版』をリリースいたしました。 HTTP/1.0、HTTP/1.1、HTTP/2と、HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。 ミニ版のため、一部の内容を割愛していますが、「ウェブアプリケーション」に関する新章と、HTTPのステータスコードとヘッダーをまとめた付録を追加しています。 今回、著者の渋川さんの全面的なご協力のもと、細かな内容の更新と加筆を行い、また無料での提供と一般的な引用の要件を超えた利用ができるようにしております。これからWebプログラマとして新生活を踏み出そうとしている方、友人

OSI参照モデルとTCP/IPモデル なぜいまでもOSI参照モデルによる説明が多いか QUICは、TCP/IPモデルのトランスポートとはいえるが、OSI参照モデルのレイヤ4とはいいにくい HTTP/QUICモデル QUICをどう解説するか OSI参照モデルとTCP/IPモデル かつてぼくたちは、7つのレイヤに分かれたOSI参照モデルという姿でコンピュータネットワークを学び、その7層のモデルにそって各種のプロトコルを理解しようとしていました。 だから、「SONET/SDH上のATM回線でIPパケットをやり取りする」という構想をきけば、「つまり、SONET/SDHがレイヤ1で、ATMがレイヤ2で、IPがレイヤ3なのだな」という枠組みを頭に描いていました。 と同時に、OSIのレイヤとはいったい……、というアンビバレントな想いにさいなまれることもよくありました。 「SONET/SDHがレイヤ1って

Googleが「google.com」ドメインに「HTTP Strict Transport Security」(HSTS)を実装した。ユーザーがインセキュアなHTTPを使用して自社サイトにアクセスするのを防ぐためだ。 HSTSは、サイト運営者がブラウザに対して、セキュアなHTTPS接続を使用した場合にのみサイトへのアクセスを可能にすることで、SSLストリップ攻撃や中間者攻撃を阻止するものだ。「Chrome」や「Safari」、「Internet Explorer」、「Microsoft Edge」などの主要ブラウザは軒並みHSTSをサポートしている。 「HSTSは、インセキュアなHTTPのURLをセキュアなHTTPSのURLに自動的に変換することで、ユーザーがうっかりHTTPのURLにアクセスするのを防止する。ユーザーはプロトコルなし、またはHTTPのURLをアドレスバーに手動で入力した

「Google Chrome」で、HTTPのサイトを「安全でない」と示すマークが表示されるようになる。 2017年1月より「Chrome 56」で、パスワードやクレジットカード情報を送信するHTTPサイトに、安全でないことを示すマークが表示される。赤色のアイコンではなく、灰色でシンプルに「Not secure」と表示する。 その後のいずれかの時点で、Googleはその警告を拡張する。最初は、HTTPページが「安全でない」ことを示す警告がシークレットモードで表示されるが、最終的に、すべてのHTTPページに対し、破損しているHTTPSページと同じ赤い三角のアイコンで安全でないことを表示するようになる。 「Chromeでは現在、HTTP接続に対して中立的なマークを表示している」とChromeセキュリティチームのEmily Schechter氏は述べた。「これでは、HTTP接続の安全性が本当に欠如

はじめまして。HASHコンサルティングでエンジニアをしている一ノ瀬と申します。 ご存知の通り、現在HASHコンサルティングは現在も積極的にセキュリティエンジニアを募集しています。従業員も少しずつ増えてきましたので、今回の投稿から弊社の代表である徳丸と共に従業員もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。 というわけで、従業員の投稿第1弾は2016/7/19に公開され話題となったhttpoxyの話です。 httpoxyは警視庁による注意喚起もされており、非常に注目を集めています。 “[PDF] CGI 等を利用するウェブサーバの脆弱性（httpoxy）を標的としたアクセスの観測について - 警察庁 (平成28年７月20日)” https://t.co/DE7LG7MwQC — 徳丸 浩 (@ockeghem) 2016年7月20日

HTTP リクエストに任意の値をセットすることで、Web アプリケーションからの HTTP 通信を傍受したり、中間者攻撃（Man-in-the-Middle）を可能にする脆弱性が見つかっています。 専用サイト httpoxyという名前が付けられ、専用サイトが立ち上がっています。詳細は、このサイトが詳しいです。 httpoxy.org 攻撃内容 アプリケーションからHTTP通信を行う際に、環境変数HTTP_PROXYの値を、HTTPプロキシとして見るライブラリがある。 HTTPリクエストにProxyヘッダを付けられると、環境変数HTTP_PROXYにその値がセットされる。（これは、CGIの仕様） つまり、任意のプロキシを外部から指定できてしまうので、通信内容の傍受や偽装ができてしまう。 対象となる PHP アプリケーション HTTP リクエストを受けて動作する PHP アプリケーション アプ

UnityにバンドルされているWWWクラスを使うと簡単にHTTP通信を行うことができて便利なのだけど、色々やろうとするといくつか判り難い挙動があったので、その辺りをメモ。 Unityのバージョンは4.5。 WWWのコンストラクタには下記の4つ（最後のものは非推奨）がある。ドキュメントはUnity - Scripting API: WWW.WWW。 WWW(string url); WWW(string url, WWWForm form); WWW(string url, byte[] postData); WWW(string url, byte[] postData, Dictionary headers); WWW(string url, byte[] postData, Hashtable headers); // deprecated ここでまず気をつける必要があるのが、WWWF

16年ぶりとなるHTTPの新しいバージョン、HTTP/2の標準化プロセスが2月18日付けで完了し、RFCとなりました。 IETFのブログでの報告。 HTTP/2 Approved | IETF Blog IETF HTTP Working Groupのチェア、Mark Nottingham氏のブログでの報告。 mnot’s blog: HTTP/2 is Done HTTP/2は昨年、2014年8月にHTTPbisワーキンググループのラストコールとなり、12月にIETFのステアリンググループであるIESGがRFCのための最終検討に入っていました。 HTTP/2は、現在広く使われているHTTP/1.1と互換性を保ちつつ、通信による遅延をできるだけ小さくし、ネットワーク帯域を効率的に使うために非同期で通信を多重化することなどによって、より高速な通信を実現することを目指したものです。 もともとG

こんにちは、サイボウズ・ラボの光成です。 PicoHTTPParserは@kazuhoさんたちが開発している高速なHTTPパーサです。 同じ作者によるHTTPサーバH2Oにも使われています。 11月4日の開発ブログによると、その時点でNode.jsなどに使われているhttp-parserの10倍程度の速度を誇るそうです（現在はhttp-parserも速度向上しその差は縮まりました。それでも4倍以上の差があるようです）。 該当ブログにはその高速化のためのノウハウが書かれていて大変興味深いです。ただIntel系CPUに搭載されているSIMD命令は用いられていませんでした。今回、@kazuhoさんと一緒に文字列処理専用のSSE4.2を用いることで1.7～1.9倍の高速化を達成しました（Improving Parser Performance using SSE Instructions (in

導入から 10 年、PHP の trait は滅びるべきなのか その適切な使いどころと弱点、将来について