Web

iframe内の転送量を制限する Transfer Size Policy とは

Webページにソーシャルボタンや広告といったiframeを埋め込むことがあります。この時、埋め込んだ側はiframeの中で使用されるリソースを制限する方法はありません。例えば動画を再生すればトラフィックとCPUが消費されますし、最近では実はBitcoinの採掘に利…

Content Security Policy(CSP) レポートのCORSと、Fetchの仕様変更

WHATWG, Fetch詳しくないので間違いがあればご指摘下さい Content Security Policy(CSP)やHPKPやExpect-CTでは、ユーザエージェントはセキュリティの違反を検出した際に、指定したURLにレポートを送信できる。例えば、下記のようにHTTPレスポンスヘッダにrep…

Device Memory APIを用いてデバイスのメモリサイズを取得する

背景 Webサービスでは、デバイスの性能毎に軽量版の機能を提供することが有ります。Google Search、Google Map、Facebookなどではローエンドデバイスでは一部軽量版のページを提供することが有ります。または、クライアントサイドで何かしらの処理速度などを…

WebSockets over HTTP2 の提案仕様。再び。

先日「Bootstrapping WebSockets with HTTP/2」という仕様が提出されています。 HTTP/2とWebSockets HTTP/2の上でWebSocketsを通信することは出来ないのが現状です。しかし根強くWebSockets over HTTP/2の議論は定期的に行われています。 古くはHTTP/2策定中…

パスワードマネージャが適切にパスワードを生成できるようにするポリシーの提案仕様

パスワードの管理に、1PasswordやLastPassといったパスワードマネージャを使うのは一般的になってきています。そのようなパスワードマネージャはランダムなパスワードを生成しますが、Webサービスによって使える文字の種類や、長さというのはマチマチです。…

セキュリティの報告先を記述する、security.txtの提案仕様

Webサイトのセキュリティリスクを発見したものの、連絡先が適切に公開されていないがために、結局報告されず脆弱性が放置されるケースがあるようだ(国内だと、IPA脆弱性関連情報の届出受付もあるが)発見者が脆弱性等の報告を出来るような情報を、Web作成者が…

W3CにおけるWeb Lifecycleの議論

W3CでWebPerf Web Performanceで、「Web Lifecycle」というトピックが議論に上っていた。(Agenda URL)これは、iOSアプリやAndroidアプリのActivityのようなライフサイクルを、Webアプリケーションでも定義しようというものらしい。まだ具体的な仕様は無いも…

Webページを丸ごとパッケージングする Web Packagingとは

2017001追記 IETF99にてユースケースについてまずまとめるべき気というフィーロバックが有り、それをうけて「Use Cases and Requirements for Web Packages」が提出されています Webページを丸ごとパッケージングする、Web Packagingの仕様がIETFで提案され…

Chrome 56 のHTTPサイトへの日本語版警告

Web

「Moving towards a more secure web」でアナウンスされているように、2017年1月にリリースされる予定のChrome 56でHTTPサイトへの警告が表示されるようになる。 日本語のサイトでも取り上げられている Google、2017年からChromeでいくつかのHTTPサイトを「…

SPDY対応するために考えてること

概要 若者の間でも、SPDYに対応するためのノウハウが共有されていないことは有名である。 そこで、中規模サイトでSSL化、SPDY対応という観点で個人的に考えていることを書き出してみる。 HTTP2は暗号化の議論や、アップグレード、ヘッダ圧縮など細部が違うた…

CROSS 2014の次世代 Web の話を聞いてきた

Web

先日行われたCROSS2014に行ってきました。 次世代Webセッションのセッションオーナーである id:Jxck さんにチケットを頂きました。ありがとうございます。 資料、登壇者の紹介、togetterのリンクはJxckさんのブログにてまとめられております(これからの Web …

Webを支えるプロトコル

Web

若者のプロトコル離れが叫ばれて久しいが、最近プロトコルは非常にホットな分野である。 目まぐるしく進化するWebに合わせ、プロトコルの世界も着実に進化している。 今までブラウザでは出来なかった事が出来るようになり、Webサービスをより安全に使えるよ…

WebApps販売時のコピー防止について

web

gdd2010jp で「Chrome Extension/WebApps のご紹介とアップデート」を聞いた感想。WebAppsはまず、二種類あって Hosted App : Webサーバー上で提供されるWebアプリケーション。利用時にはそのURLにアクセスする事になる。(chromeに限定されない)Packaged App…

twitterでCSRFがあったらしい

web

Twitterでまた悪質リンクが横行――解決済み(ITmedia) 記事はXSSタグが付いているが、実際の攻撃はCSRFのようだ。 <script type="text/javascript"> var el1 = document.createElement('iframe'); el1.style.visibility="hidden"; el1.src = "http://twitter.com/share/update?status=WTF:%20"…