RSAブラインド署名を使ったHTTP認証方式の提案仕様。クライアントを認証するサーバは、クライアントを特定しない。

RSAブラインド署名を用いたHTTP認証の提案仕様

HTTP/3でWebSocketを使えるようにする「Bootstrapping WebSockets with HTTP/3」という仕様について。

Bootstrapping WebSockets with HTTP/3 の仕様

「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。

ホスト名の最後が数字なURLの扱いについて

HTTP DATAGRAMの優先度制御の提案仕様についえ。

HTTP/3 DATAGRAMの優先度制御の提案仕様

QUICやHTTP/3が、リフレクション攻撃対策としてブロックされうる送信元ポートを利用しないようにする議論。

QUICやHTTP/3で利用を避けるべき送信元ポートの議論

HTTP/3のように、バージョンによって下位層に使うプロトコルが異なる場合でも、ダウングレード攻撃を防ぐIncompatibleProtocol拡張について

HTTP/3からのダウングレード攻撃を防ぐIncompatibleProtocol拡張の仕様

トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組みについて

トラッキングに利用できない3rdパーティクッキー「CHIPS」の仕組み (partitioned属性)

HTTPセマンティクス仕様の改訂版について、ざっくり変更点を説明する。

HTTPセマンティクス仕様の改訂版 まとめ

5月21日に行われた WebTransport WGの中間会議で、WebTransport over HTTP/2の方向性が見えてきたのでメモとして残しておく WebTransportの動向 WebTransportと呼ばれる新しい双方向通信の仕組みが議論されています。WebSocketの次世代版とも呼ばれており、H…

WebTransport over HTTP/2 の方向性 (2021年5月の中間会議をうけて)

TLSの終端装置が、クライアント証明書の情報をバックエンドに伝えために定義されたClient-Certヘッダの提案仕様。

クライアント証明書を中継するClient-Certヘッダの提案仕様

HTTP/3の応用プロトコルであるWebTransportやMASQUEが使うDATAGRAMフレームの使い方について説明します。

HTTP/3におけるDATAGRAMの送信と、CAPSULEフレームについて

HTTP/3をVPNとして使うために、HTTP/3コネクション上でIPパケットをProxyさせる仕様について紹介する。

HTTPコネクションでIPパケットをProxyさせる、新しいCONNECT-IPメソッドの仕様

WebSocketに変わる、あたらしいWebTransport over HTTP/3の仕組みについて、プロトコル部分について紹介します。

WebTransport over HTTP/3のプロトコル仕様

HTTPレスポンスボディを送ってから、Cache-Controlを変更可能にする「Updating HTTP Caching Policy in Trailers」という仕様

HTTPレスポンスボディを送ったあとに、Cache-Controlを変更可能にする仕様

DNSサーバがDoHに対応しているか確認できるようにする、「Discovery of Designated Resolvers」という仕様について

DNSサーバがDoHに対応しているか確認できるようにする提案仕様

Webページのサブリソースを1つにまとめる 「Resource bundles」 という仕組みについて解説する。

Webページのサブリソースを一つにまとめる Resource bundles (Bundle preloading) とは

トラッキング対策としてクライアントのIPアドレスを隠蔽するOblivious HTTPの仕様について。

プライバシーを保護する Oblivious HTTP の仕様 (OHTTP)

NAT Slipstreaming v2攻撃について。外側からNAT内にアクセスする攻撃で、今回はv1との違いに触れる

NAT Slipstreaming v2 攻撃とブラウザ側の対策

Chrome 89で「Partition Network State」という機能の導入が検討されている。

ChromeのPartition Network Stateについて (Network State Partitioning)

WebTransportと呼ばれる新しい双方向通信の仕組みが議論されています。WebSocketの次世代版とも呼ばれており、QUICやHTTP/3上で動作します。現在、Chrome ではQUIC上で動作する版の実装が進められていたりします (web.dev)さて、このWebTransportの標準化は…

WebTransportの方向性 (2021年1月の中間会議をうけて)

HTTP PUTリクエストにContent-Rangeヘッダを付けられるか？HTTPセマンティクス改定版に触れつつ解説する。

HTTP PUTリクエストにContent-Rangeヘッダを付けられるか？（再開可能アップロードについて）

MozillaのMartin Thomson氏から「Optimizations for Using TLS Early Data in HTTP/2」という提案仕様が出ています。もともとHTTP/2(RFC7540)を標準化した時には、TLS1.3(RFC8446)はまだありませんでした。ですので、TLS1.3で導入された 0-RTTデータ (Early …

TLS1.3 0-RTTにおけるHTTP/2 SETTINGSを改善する提案仕様

APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている

URLリソースの非推奨を示すDeprecationヘッダ

先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…

GoogleのPrivate prefetch proxyに関するメモ

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく

Cookieの新しい属性、SameParty属性について

「RFC8879 TLS Certificate Compression」が昨日公開されました。これは、TLSハンドシェイク中に送信されるサーバ証明書を圧縮する仕組みを定義しています。

RFC8879 TLS Certificate Compression について

OpenMetricsという仕様が、11月25日にIETFに提出されました。仕様の中身というよりかは、標準化の観点で興味深くおもっているのでラフに書いていこうかと思います。

Prometheusが利用するOpenMetricsの仕様がIETFに提出された

CDNのキャッシュを制御する「CDN-Cache-Control」を新しく定義する提案仕様「The CDN-Cache-Control HTTP Response Header Field」が出ているので、簡単に紹介する。

CDNのキャッシュを制御する CDN-Cache-Control ヘッダ

リトライされたPOSTリクエストを冪等処理するための、Idempotency-Keyヘッダの提案仕様。

POSTリクエストを冪等処理可能にするIdempotency-Keyヘッダの提案仕様

TLS1.3でホスト名が異なるTLS session resumptionを支援する拡張仕様が出ているので紹介する。

ホスト名の異なるTLS session resumptionについて