HTTP PUTリクエストにContent-Rangeヘッダを付けられるか？HTTPセマンティクス改定版に触れつつ解説する。

MozillaのMartin Thomson氏から「Optimizations for Using TLS Early Data in HTTP/2」という提案仕様が出ています。もともとHTTP/2(RFC7540)を標準化した時には、TLS1.3(RFC8446)はまだありませんでした。ですので、TLS1.3で導入された 0-RTTデータ (Early …

APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている

先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく

「RFC8879 TLS Certificate Compression」が昨日公開されました。これは、TLSハンドシェイク中に送信されるサーバ証明書を圧縮する仕組みを定義しています。

OpenMetricsという仕様が、11月25日にIETFに提出されました。仕様の中身というよりかは、標準化の観点で興味深くおもっているのでラフに書いていこうかと思います。

CDNのキャッシュを制御する「CDN-Cache-Control」を新しく定義する提案仕様「The CDN-Cache-Control HTTP Response Header Field」が出ているので、簡単に紹介する。

リトライされたPOSTリクエストを冪等処理するための、Idempotency-Keyヘッダの提案仕様。

TLS1.3でホスト名が異なるTLS session resumptionを支援する拡張仕様が出ているので紹介する。

ChromeがHTTP/2サーバプッシュのサポートを廃止を検討し始めている。またPreload + 103 Early Hintsの有効性について実験していく模様

NAT Slipstreaming攻撃の紹介。ALG NAT内の攻撃対象に任意ポートでアクセスできるようになる攻撃。

QUICのMultipath拡張について、現在提出されている仕様と、10がつ行われた中間会議の様子を簡単に紹介する。

Chromeで実装が進められているPermissions PolicyとDocument Policyについて説明する。

Wireshark 3.3.0 がHTTP/3に対応したので試す

HTTP/2の仕様の改定作業が開始されています。このhttp2bisについて紹介します

GoogleのDavid Benjamin氏から「Client Hint Reliability」という提案仕様が出されています。

HTTP/2, HTTP/3に対応してるといったHTTPSに必要なサーバ情報をDNSレコードで通知します。

インターネットやWebにおいて問題になっている「硬直化(ossification)」について、HTTPの例も併せて説明します。

CookieのSameSite属性にFirstPartyLax、FirstPartyStrictを追加する提案仕様について、First-Party Setsと併せて解説する。

NginxのHTTP/3対応版が公開されました。実際に動かしていきます。(なお、現在サポートしているのはHTTP/3 draft 27版です)

@flano_yuki がHTTP/3について書きました (無料です)。

サポートしていないwell-known URIs へのリクエストに対して200番を返すサーバを検出するための仕組み。

Cookieのセキュリティを改善するSchemeful Same-Siteと、Scheming Cookiesについて解説する。これらは、GoogleのMike Westが提案するIncrementally Better Cookiesで登場する。

プロトコルの標準化の場では、自転車置き場(Bikeshed)の話がたまに出てきます。そのやり取りが面白かったので、提案仕様自体の解説にあわせて紹介します。

WebTransportという新しい双方向メッセージングプロトコルの標準化および実装が進められている。そのうち「WebTransport over HTTP/2」の仕様について解説する。

Retry-Afterヘッダのスコープを示す、Retry-Scopeヘッダの提案仕様について。その例とともに示す。

Chrome 81のデスクトップ版から、ダウンロードもMixed Contentsでブロック対象になる話があります。 これにより、https:// のページから http://でリンクされたファイルをダウロードしようとするとブラウザによってブロックされます。

HTTPメッセージに署名をするSignatureヘッダを定義する「Signing HTTP Messages」という仕様が提案されています。HTTPメッセージへの署名は、様々なところで行われていますが、それぞれ独自の方式で行われています。例えば、AWS APIを叩く際に利用する「Sign…

HTTP/3はQUICというトランスポートプロトコルを利用しています。QUICはUDPを利用していますが、QUIC自体はステートフルなプロトコルです。ステートフルなQUICを、QUICを解釈しないUDPロードバランサでバランシングしようとするにはいくつかの問題点がありま…