Permissions PolicyとDocument Policyについて

Chromeで実装が進められているPermissions PolicyとDocument Policyについて説明する。

ChromeのSecure context restriction for external requests

インターネットに公開されているWebサイトから、プライベートアドレスに対するCSRF攻撃対策の議論。

Linux 5.6 から Multipath TCPが使える

来月リリース予定である、Ubuntu 20.10 は Kernel 5.8 が入っており、mptcpが使えるのか試してみようと思いました。

WiresharkがHTTP/3に対応した

Wireshark 3.3.0 がHTTP/3に対応したので試す

DNSのエラー理由を通知するExtended DNS Errorsの仕様

Google Chromeでは「Extended DNS Errors(EDE)」という仕様のサポートが検討されています。ここでは、Extended DNS Errorsを簡単に紹介します

HTTP/2の仕様、改定作業が始まる

HTTP/2の仕様の改定作業が開始されています。このhttp2bisについて紹介します

認証付き暗号の鍵利用上限について

認証付き暗号 "Authenticated Encryption with Associated Data (AEAD)" の利用上の制限について、「Usage Limits on AEAD Algorithms」というドキュメントが公開されている。

ブラウザからTCP, UDPソケットを操作するDirect Sockets API

ブラウザでTCP, DUPソケットを操作可能にする「Raw Sockets API」という仕様がW3CのWICGで議論されている。

HTTP Client Hint Reliabilityの提案仕様

GoogleのDavid Benjamin氏から「Client Hint Reliability」という提案仕様が出されています。

HTTPSの接続情報を通知する "HTTPS DNSレコード" の提案仕様

HTTP/2, HTTP/3に対応してるといったHTTPSに必要なサーバ情報をDNSレコードで通知します。

QUIC for SSH の提案仕様が出たよ

SSH over QUICの提案仕様について説明します。

HTTPと硬直化(ossification)の問題

インターネットやWebにおいて問題になっている「硬直化(ossification)」について、HTTPの例も併せて説明します。

TLSハンドシェイク中にアプリケーション設定を送信可能にする提案仕様 (TLS ALPS)

「TLS Application-Layer Protocol Settings Extension」という提案仕様について。これは、TLSハンドシェイク中にアプリケーションプロトコルで必要なパラメータを送信するTLS拡張を定義します。

CookieのSameSite属性にFirstPartyLaxを追加する提案仕様

CookieのSameSite属性にFirstPartyLax、FirstPartyStrictを追加する提案仕様について、First-Party Setsと併せて解説する。

NginxのHTTP/3を試す (2020年6月)

NginxのHTTP/3対応版が公開されました。実際に動かしていきます。(なお、現在サポートしているのはHTTP/3 draft 27版です)

HTTP/3の解説を書いた (2020/06/01)

@flano_yuki がHTTP/3について書きました (無料です)。

CONNECT-UDP HTTPメソッドの仕様

MASQUEの流れで登場したCONNECT-UDP HTTPメソッドは、HTTPの接続をUDPでプロキシするのに使用されるメソッドです。

サポートしてないwell-known URIs に対するステータスコードを確認する提案仕様

サポートしていないwell-known URIs へのリクエストに対して200番を返すサーバを検出するための仕組み。

Compact TLS 1.3の提案仕様

Compact TLS (cTLS)は、よりコンパクトなTLSを定義しデータの通信量を削減しています。

Cookieのセキュリティを改善する Scheming Cookiesについて

Cookieのセキュリティを改善するSchemeful Same-Siteと、Scheming Cookiesについて解説する。これらは、GoogleのMike Westが提案するIncrementally Better Cookiesで登場する。

時刻同期プロトコル Roughtime の標準化

GoogleやCloudflareが開発をすすめる時刻同期プロトコル Roughtimeの仕組みおよび、標準化動向について解説する。

TLS Encrypted Client Hello の暗号化(ECH)に関するメモ

TLS SNIの暗号化のために、ClientHelloの暗号化する方法が提案されている。その構成や仕組みについて簡単に説明する。

「Advisory Content-Length for HTTP」と自転車置場の話し

プロトコルの標準化の場では、自転車置き場(Bikeshed)の話がたまに出てきます。そのやり取りが面白かったので、提案仕様自体の解説にあわせて紹介します。

WebTransport over HTTP/2 の仕様について

WebTransportという新しい双方向メッセージングプロトコルの標準化および実装が進められている。そのうち「WebTransport over HTTP/2」の仕様について解説する。

UUID version 6の提案仕様

先日IETFに提出された「UUID Format Update」という提案仕様の中でUUID version 6のフォーマットが言及されている。その背景と構造について簡単に解説する。

Retry-Afterのスコープを指定するRetry-Scopeヘッダ

Retry-Afterヘッダのスコープを示す、Retry-Scopeヘッダの提案仕様について。その例とともに示す。

RFC8701 TLS GREASEで予約される値

TLSの拡張性を維持するために、未知の拡張仕様を実装が正しく無視するように「Applying Generate Random Extensions And Sustain Extensibility (GREASE) to TLS Extensibility」という仕様が長らく議論されてきました。2020年1月に無事RFC8701になったので…

オリジン全体にポリシーを適応するOrigin PolicyをChromeで試す

オリジン全体にポリシーを適応する「Origin Policy」という機能をChromeで試してみました。CSPやFeature-Policyのポリシーが適応できます。

WebTransport over QUICのサンプルサーバを試してみる

"WebTransport over QUIC"の標準化及び、Chromiumでの実装が進んでいます。今回はクライントを書いて、Chromiumに同梱されているquic_transport_simple_serverと通信してみました。環境は Ubuntu 18.04です。WebTransport over QUICについては以前書いたブロ…

ダウンロードもMixed Contentsの対象となる話し

Chrome 81のデスクトップ版から、ダウンロードもMixed Contentsでブロック対象になる話があります。 これにより、https:// のページから http://でリンクされたファイルをダウロードしようとするとブラウザによってブロックされます。