早いもので2016年も終わりですね。 今年は、毎月コンスタントにブログ記事を書けたもの、記事数39と去年よりも少なくなってしまいました。internet-draft絡みも9本でした。 ただ反面、OSSにPR投げてマージされたり、英語でissue投げてみたり、Nginxのモジュ…

これは、http2 Advent Calendar 2016の10日目の記事です。 今年の頭に書いた「varnishtestがHTTP2対応して超便利！」で紹介しましたvarnishtestのHTTP/2対応ですが、シンタックスの一部変更で当時のサンプルが使えなくなっていたのでアップデートについて軽…

これは、nginx Advent Calendar 2016の8日目の記事です。 103 Early Hints 先日の「Apache mod_http2 で 103 EarlyHints を試す」という記事でも書きましたが。軽くおさらい。 103 Early Hintsは、@kazuho氏によって提案されている仕様です。すでに Individu…

これは、http2 Advent Calendar 2016の5日目の記事です。 20161208 今回はtoy serverを使用しましたが、103 EarlyHintsを送信できるNginxモジュールを書きました 103 EarlyHintsを送信するNginxモジュール書いた 103 Early Hints 103 Early Hintsは、@kazuho…

うるう秒を挿入せず、1秒分を長い時間で少しずつ適応することでソフトウェアなどのバグを回避する Leap Smearingは ntpdでも使用できる。 4.2.8.p3 と 4.3.47以降でサポートしているが、defaultでは無効になっているので自身でビルドする必要がある。 ubuntu…

20181016追記 Remove support for Token Binding https://chromium.googlesource.com/chromium/src/+/2243e8002e3025b3f8386c13be7437fc8b597e2achromeの実装は削除されました下記も合わせて参照のこと https://groups.google.com/a/chromium.org/forum/?nom…

前置き かなり無理矢理かつ、動作を保証するものではありません。 手習いで試しに書いてみたぐらいの温度感です うるう秒 ”元旦「うるう秒」でエンジニア悲鳴 「年末年始がなくなる」”と言ったニュースサイトでも取り上げられているように、1月1日 日本時間…

追記 2021/11/15 Expect-CTヘッダの役割は、CTの利用が必須となり不要となる方向です asnokaze.hatenablog.com Certificate Transparency Certificate Transparencyと呼ばれる、不正な証明書の発行を検知する仕組みがGoogle社によって考案され、RFC 6962とし…

IETFのHTTPbis wgでCloudFlareの方より「Compression Dictionaries for HTTP/2」(URL)という仕様が提案されている。 これは、Content-Encodingヘッダで指定される圧縮アルゴリズム向けの初期ウィンドウに使用される辞書データを事前に送る拡張を定義する。 C…

[追記] 2020年1月時点の動向について、新しく記事を書きました asnokaze.hatenablog.com Googleの「Adam Langley氏のブログ」で、新しい時刻同期プロトコルについて紹介されている。このRoughtimeは特定のタイムサーバに依存しないセキュアな方法で時刻同期…

evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性…

「Moving towards a more secure web」でアナウンスされているように、2017年1月にリリースされる予定のChrome 56でHTTPサイトへの警告が表示されるようになる。 日本語のサイトでも取り上げられている Google、2017年からChromeでいくつかのHTTPサイトを「…

Secure Contexts Service Workers、Web BluetoothといったAPIは、安全に使用するためにセキュリティ上の条件があります。 その条件がSecure Contextと呼ばれるコンテキストであり、W3CのSecure Contexts(URL)というドキュメントで定義されています。 このSec…

wicgで議論になっている「Face detection API」の仕様が「Shape Detection in Images」としてwicgのリポジトリで公開されている。 https://wicg.github.io/shape-detection-api/ Shape Detection in Images HTMLImageElement、HTMLCanvasElement、ImageData…

HTTP/2 Implementation Debug State 「HTTP/2 Implementation Debug State」というHTTP/2用のデバッグ情報を表示するエンドポイントの仕様が、IETFに提出されています。https://tools.ietf.org/html/draft-benfield-http2-debug-state-01 サーバの「.well-kn…

Mark Nottingham氏から、HTTPレスポンスヘッダをサイト全体で使いまわせるようにする 「Site-Wide HTTP Headers」 という仕様が提案されています。https://tools.ietf.org/html/draft-nottingham-site-wide-headers-00 例えば、Public-Key-PinsやStrict-Tran…

2020126 追記 仕様も大きく変わっているので、記事を書き直しました asnokaze.hatenablog.com 20190218 追記 sec-origin-policyヘッダを使うように変更になった模様 WICGで議論されている「Set origin-wide policies via a manifest」の仕様がGoogleのMike W…

2018/10/26 現在最新版の draft-16 について翻訳を開始しました GitHub - flano-yuki/my-quic-spec-translation: QUICの仕様の翻訳 2017年追記 2017年時点で、仕様は更新され、拡張仕様も出てきています。 asnokaze.hatenablog.com QUIC in ietf96 「Google …

追記 20180918 Chromeではこういう形で実装されました (W3Cで提案されているものとは別物) asnokaze.hatenablog.com Permission Delegation To Embedded Web Applications iframeで埋め込まれたクロスオリジンのWebアプリケーションがPermissionを要求すると…

2016/060/15追記 alt-svcヘッダのセットは、有効な証明書を使用したhttpsで行う必要がありました ブラウザは53.0.2768.0 (Official Build) canaryでのみ動作確認しました Go実装のWebサーバであるCaddyが実験的にQUICのサポートをしました。簡単に動かしてみ…

W3CでFeature Policyという仕様が議論されています。仕様は著者であるGoogleのIlya Grigorik氏のリポジトリ(URL)より確認できます。 このドキュメントはまだW3C公式のドキュメントとはなってはいませんが、先月行われたFace-to-Faceのミーティングでも議論が…

Chrome canaryも、chrome://flagsよりTLS1.3を有効にできるようになりました(2016/08/08) FirefoxがNgithlyでTLS1.3に対応したので試す TLS1.3 TLS1.3は、TLS1.2より様々な改善が行なわれています。 個人的には、大きな所で ハンドシェイクのRTT削減 セキュ…

安全でない通信路で設定されたCookieについて有効期限を短くする「Expiring Aggressively Those HTTP Cookies」という仕様がMozillaのMartin Thomsonから提案されています。 Expiring Aggressively Those HTTP Cookies https://tools.ietf.org/html/draft-th…

Mixed Content Mixed Contentと言う仕様により、httpsで提供しているページの中でhttpで提供するリソース(script等)があるとそのリソースはブロックされます。 このMixed Contentには、Content Security Policyのblock-all-mixed-contentディレクティブも定…

追記 20170915 RFC8246として標準化されました こちらの記事で紹介されている、"Cache-Control: immutable"について試してみる https://bitsup.blogspot.jp/2016/05/cache-control-immutable.html?m=1 Cache-Control: immutable 基本的にブラウザは、画像な…

CloudFlareから、「Open sourcing our NGINX HTTP/2 + SPDY code」という記事にて、NginxをHTTP2とSPDYに両方に対応するパッチが公開されました。 NginxはHTTP2対応に伴い、SPDYのコードは削除されました。しかし、一部古いブラウザはSPDYまでしか対応してな…

関連記事 20160607 FirefoxのTLS1.3対応が来たので通信させてみました 「Firefox Nightly がTLS1.3対応したので試す」 TLS1.3 TLS1.3は、TLS1.2より様々な改善が行なわれています。 個人的には、大きな所で ハンドシェイクのRTT削減 セキュリティーの改善。…

Credential Management クレデンシャル管理機能と連携するためのAPI仕様「Credential Management」がW3Cで議論されています。 https://www.w3.org/TR/credential-management/ ブラウザは、Webサイトにログインするためのユーザ名・パスワードといった資格情…

20190311追記 最新仕様である、Secondary Certificate Authentication in HTTP/2の解説記事を書きました asnokaze.hatenablog.com この記事は Secondary Certificate Authentication in HTTP/2 という仕様にマージされました 「HTTP/2における証明書に基づい…

unsafe-dynamicは'strict-dynamic'という別ディレクティブとなりました (20160622) Content Security Policy Level 3のFirst Public Working Draftが1月に公開されました。 以前「まもなく公開される CSP Level3 の変更点」この記事で書いたように、CSP leve…