2016-01-01から1年間の記事一覧

2016年振り返り

早いもので2016年も終わりですね。 今年は、毎月コンスタントにブログ記事を書けたもの、記事数39と去年よりも少なくなってしまいました。internet-draft絡みも9本でした。 ただ反面、OSSにPR投げてマージされたり、英語でissue投げてみたり、Nginxのモジュ…

varnishtestのHTTP/2対応 アップデート

これは、http2 Advent Calendar 2016の10日目の記事です。 今年の頭に書いた「varnishtestがHTTP2対応して超便利!」で紹介しましたvarnishtestのHTTP/2対応ですが、シンタックスの一部変更で当時のサンプルが使えなくなっていたのでアップデートについて軽…

103 EarlyHints (RFC 8297) を送信するNginxモジュール書いた

これは、nginx Advent Calendar 2016の8日目の記事です。 103 Early Hints 先日の「Apache mod_http2 で 103 EarlyHints を試す」という記事でも書きましたが。軽くおさらい。 103 Early Hintsは、@kazuho氏によって提案されている仕様です。すでに Individu…

Apache mod_http2 で 103 EarlyHints (RFC 8297) を試す

これは、http2 Advent Calendar 2016の5日目の記事です。 20161208 今回はtoy serverを使用しましたが、103 EarlyHintsを送信できるNginxモジュールを書きました 103 EarlyHintsを送信するNginxモジュール書いた 103 Early Hints 103 Early Hintsは、@kazuho…

ntpdのLeap Smearingを有効にし、うるう秒を24時間かけて調整する

うるう秒を挿入せず、1秒分を長い時間で少しずつ適応することでソフトウェアなどのバグを回避する Leap Smearingは ntpdでも使用できる。 4.2.8.p3 と 4.3.47以降でサポートしているが、defaultでは無効になっているので自身でビルドする必要がある。 ubuntu…

Nginxのtoken binding実装を試す

20181016追記 Remove support for Token Binding https://chromium.googlesource.com/chromium/src/+/2243e8002e3025b3f8386c13be7437fc8b597e2achromeの実装は削除されました下記も合わせて参照のこと https://groups.google.com/a/chromium.org/forum/?nom…

NTP leap indicatorを上書きするProxyを書いた

前置き かなり無理矢理かつ、動作を保証するものではありません。 手習いで試しに書いてみたぐらいの温度感です うるう秒 ”元旦「うるう秒」でエンジニア悲鳴 「年末年始がなくなる」”と言ったニュースサイトでも取り上げられているように、1月1日 日本時間…

CT対応を示すExpect-CTヘッダとは

追記 2021/11/15 Expect-CTヘッダの役割は、CTの利用が必須となり不要となる方向です asnokaze.hatenablog.com Certificate Transparency Certificate Transparencyと呼ばれる、不正な証明書の発行を検知する仕組みがGoogle社によって考案され、RFC 6962とし…

CloudFlareの提案するHTTP/2の圧縮辞書拡張

IETFのHTTPbis wgでCloudFlareの方より「Compression Dictionaries for HTTP/2」(URL)という仕様が提案されている。 これは、Content-Encodingヘッダで指定される圧縮アルゴリズム向けの初期ウィンドウに使用される辞書データを事前に送る拡張を定義する。 C…

googleの新しい時刻同期プロトコル Roughtimeとは

[追記] 2020年1月時点の動向について、新しく記事を書きました asnokaze.hatenablog.com Googleの「Adam Langley氏のブログ」で、新しい時刻同期プロトコルについて紹介されている。このRoughtimeは特定のタイムサーバに依存しないセキュアな方法で時刻同期…

XSSを防ぐ新しいXSS-Protectionヘッダ

w3c

evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性…

Chrome 56 のHTTPサイトへの日本語版警告

Web

「Moving towards a more secure web」でアナウンスされているように、2017年1月にリリースされる予定のChrome 56でHTTPサイトへの警告が表示されるようになる。 日本語のサイトでも取り上げられている Google、2017年からChromeでいくつかのHTTPサイトを「…

Secure Contextsに関する localhost と、IETFでの新提案

Secure Contexts Service Workers、Web BluetoothといったAPIは、安全に使用するためにセキュリティ上の条件があります。 その条件がSecure Contextと呼ばれるコンテキストであり、W3CのSecure Contexts(URL)というドキュメントで定義されています。 このSec…

wicgのFace detection API

w3c

wicgで議論になっている「Face detection API」の仕様が「Shape Detection in Images」としてwicgのリポジトリで公開されている。 https://wicg.github.io/shape-detection-api/ Shape Detection in Images HTMLImageElement、HTMLCanvasElement、ImageData…

HTTP/2のデバック用情報エンドポイントの仕様

HTTP/2 Implementation Debug State 「HTTP/2 Implementation Debug State」というHTTP/2用のデバッグ情報を表示するエンドポイントの仕様が、IETFに提出されています。https://tools.ietf.org/html/draft-benfield-http2-debug-state-01 サーバの「.well-kn…

Site-Wide HTTP Headers とは

Mark Nottingham氏から、HTTPレスポンスヘッダをサイト全体で使いまわせるようにする 「Site-Wide HTTP Headers」 という仕様が提案されています。https://tools.ietf.org/html/draft-nottingham-site-wide-headers-00 例えば、Public-Key-PinsやStrict-Tran…

ポリシーをオリジン全体に適応する Origin Policy (sec-origin-policy)

w3c

2020126 追記 仕様も大きく変わっているので、記事を書き直しました asnokaze.hatenablog.com 20190218 追記 sec-origin-policyヘッダを使うように変更になった模様 WICGで議論されている「Set origin-wide policies via a manifest」の仕様がGoogleのMike W…

QUICの仕様を翻訳していく (追記 2018/10/26

2018/10/26 現在最新版の draft-16 について翻訳を開始しました GitHub - flano-yuki/my-quic-spec-translation: QUICの仕様の翻訳 2017年追記 2017年時点で、仕様は更新され、拡張仕様も出てきています。 asnokaze.hatenablog.com QUIC in ietf96 「Google …

iframeのアプリケーションにPermissionを委譲する仕様

w3c

追記 20180918 Chromeではこういう形で実装されました (W3Cで提案されているものとは別物) asnokaze.hatenablog.com Permission Delegation To Embedded Web Applications iframeで埋め込まれたクロスオリジンのWebアプリケーションがPermissionを要求すると…

Go実装のWebサーバ CaddyのQUICを試す

2016/060/15追記 alt-svcヘッダのセットは、有効な証明書を使用したhttpsで行う必要がありました ブラウザは53.0.2768.0 (Official Build) canaryでのみ動作確認しました Go実装のWebサーバであるCaddyが実験的にQUICのサポートをしました。簡単に動かしてみ…

Feature Policy、ブラウザの特定機能を無効にする仕様

w3c

W3CでFeature Policyという仕様が議論されています。仕様は著者であるGoogleのIlya Grigorik氏のリポジトリ(URL)より確認できます。 このドキュメントはまだW3C公式のドキュメントとはなってはいませんが、先月行われたFace-to-Faceのミーティングでも議論が…

Firefox Nightly がTLS1.3対応したので試す

TLS

Chrome canaryも、chrome://flagsよりTLS1.3を有効にできるようになりました(2016/08/08) FirefoxがNgithlyでTLS1.3に対応したので試す TLS1.3 TLS1.3は、TLS1.2より様々な改善が行なわれています。 個人的には、大きな所で ハンドシェイクのRTT削減 セキュ…

安全でない通信路でセットされたCookieの有効期限を短くする仕様

安全でない通信路で設定されたCookieについて有効期限を短くする「Expiring Aggressively Those HTTP Cookies」という仕様がMozillaのMartin Thomsonから提案されています。 Expiring Aggressively Those HTTP Cookies https://tools.ietf.org/html/draft-th…

Mixed ContentのブロックされたURIをレポートさせる仕様追加

w3c

Mixed Content Mixed Contentと言う仕様により、httpsで提供しているページの中でhttpで提供するリソース(script等)があるとそのリソースはブロックされます。 このMixed Contentには、Content Security Policyのblock-all-mixed-contentディレクティブも定…

RFC8246 Cache-Control: immutableについて

追記 20170915 RFC8246として標準化されました こちらの記事で紹介されている、"Cache-Control: immutable"について試してみる https://bitsup.blogspot.jp/2016/05/cache-control-immutable.html?m=1 Cache-Control: immutable 基本的にブラウザは、画像な…

CloudFlareのNGINX HTTP/2 + SPDY両対応するパッチを試す

CloudFlareから、「Open sourcing our NGINX HTTP/2 + SPDY code」という記事にて、NginxをHTTP2とSPDYに両方に対応するパッチが公開されました。 NginxはHTTP2対応に伴い、SPDYのコードは削除されました。しかし、一部古いブラウザはSPDYまでしか対応してな…

TLS1.3のgo実装 Mintを触ってみる

TLS

関連記事 20160607 FirefoxのTLS1.3対応が来たので通信させてみました 「Firefox Nightly がTLS1.3対応したので試す」 TLS1.3 TLS1.3は、TLS1.2より様々な改善が行なわれています。 個人的には、大きな所で ハンドシェイクのRTT削減 セキュリティーの改善。…

ブラウザのクレデンシャル管理と連携するCredential Managementを試す

w3c

Credential Management クレデンシャル管理機能と連携するためのAPI仕様「Credential Management」がW3Cで議論されています。 https://www.w3.org/TR/credential-management/ ブラウザは、Webサイトにログインするためのユーザ名・パスワードといった資格情…

HTTP/2における証明書に基づいたリアクティブなクライアント認証 その2

20190311追記 最新仕様である、Secondary Certificate Authentication in HTTP/2の解説記事を書きました asnokaze.hatenablog.com この記事は Secondary Certificate Authentication in HTTP/2 という仕様にマージされました 「HTTP/2における証明書に基づい…

CSP3のunsafe-dynamicとunsafe-hash-attributes

w3c

unsafe-dynamicは'strict-dynamic'という別ディレクティブとなりました (20160622) Content Security Policy Level 3のFirst Public Working Draftが1月に公開されました。 以前「まもなく公開される CSP Level3 の変更点」この記事で書いたように、CSP leve…