W3Cで「Content Security Policy: Embedded Enforcement」という仕様が公開された（First Public Working Draft）。ちょっと読んでみた。 現在はCSPを利用しても、iframeで提供されるサードパティのウィジェットに制限を設けることは出来ませんでした。そこ…

Webセキュリティを考える上で大事な仕組みの一つに、Same-Origin Policyという仕組みがあります。 Originは「スキーム・ホスト・ポート」の組み合わせです。これらが一緒であれば、同一Originでありリソースへアクセスすることができます。 歴史的経緯や様々…

先日行われたTPAC 2015で議論があったらしい「HSTS Priming」について軽く眺めてみる。 議論されているHSTS Priming自体は、EditorであるMike West個人のリポジトリ(URL)にて仕様が公開されている。 HSTS Priming オリジンAで、以下のHTMLを含んでいるとする…

HTTPを効率よく使用するためにTCPのチューニングはかかせません。 Best Current Practiceカテゴリとして「TCP Tuning for HTTP (draft 00)」というInternet-Draftが提出されているので、ざっと目を通した。（割と適当） 大きく分けて下記の5つについて書かれ…