Web

セキュリティ関連のHTTPヘッダを一括指定する Baseline ヘッダ

現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」…

クエリパラメータ付きURLのキャッシュを改善する No-Vary-Search ヘッダ

クエリパラメータ付きURLのキャッシュを改善する No-Vary-Search ヘッダ

Webサイトを離れたときにデータを送る Page Unload Beacon (Pending Beacon API)

Webサイトを離れたときにサーバにデータを送れるようにする「Page Unload Beacon」について

一般ユーザに払い出すと危険なサブドメインやメールアドレス

一般ユーザに払い出すと危険なサブドメインやメールアドレス。

Webサイトのバグの報告先を示す contributing.txt

Webサイトのバグの報告先を示す contributing.txtについて

ChromeのCache Transparencyに関するメモ

Chromeではキャッシュの効率改善を目的とした「Cache Transparency」という仕組みが検討されている。

ブラウザでTCPを直接送受信できるDirect Sockets APIについて

ブラウザでTCPを直接送受信できるDirect Sockets APIについて

ホスト名の最後が数字なURLの扱いについて

「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。

WebでのIPマルチキャストの利用検討 (Multicast Community Group)

W3Cに新しく、Webでのマルチキャストの利用を検討する「Multicast Community Group」が立ち上がるので、動向についてまとめる。

サーバ証明書の不正発行に対するSCT Auditing

サーバ証明書の誤発行を検知するためのCertificate Transparencyにおいて、ChromeにSCT Auditingの導入が進められている。

HTTPセマンティクス仕様の改訂版(RFC9110) まとめ

HTTPセマンティクス仕様の改訂版について、ざっくり変更点を説明する。

Webページのサブリソースを一つにまとめる Resource bundles (Bundle preloading) とは

Webページのサブリソースを1つにまとめる 「Resource bundles」 という仕組みについて解説する。

ZeroSSL ならIPアドレスのサーバ証明書が取得できる

ZeroSSLで無料のIPアドレス証明書を取得する。

URLリソースの非推奨を示すDeprecationヘッダ

APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている

GoogleのPrivate prefetch proxyに関するメモ

先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…

Cookieの新しい属性、SameParty属性について

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく

Permissions PolicyとDocument Policyについて

Chromeで実装が進められているPermissions PolicyとDocument Policyについて説明する。

ChromeのSecure context restriction for external requests

インターネットに公開されているWebサイトから、プライベートアドレスに対するCSRF攻撃対策の議論。

ブラウザからTCP, UDPソケットを操作するDirect Sockets API

ブラウザでTCP, DUPソケットを操作可能にする「Raw Sockets API」という仕様がW3CのWICGで議論されている。

サポートしてないwell-known URIs に対するステータスコードを確認する提案仕様

サポートしていないwell-known URIs へのリクエストに対して200番を返すサーバを検出するための仕組み。

オリジン全体にポリシーを適応するOrigin PolicyをChromeで試す

オリジン全体にポリシーを適応する「Origin Policy」という機能をChromeで試してみました。CSPやFeature-Policyのポリシーが適応できます。

WebTransport over QUICのサンプルサーバを試してみる

2022/01/04追記: この記事はすでに古いです。WebTransport over QUICは標準化せずに、WebTransport over HTTP/3を標準化する方向です。Chromeの実装もそちらに移っています。 "WebTransport over QUIC"の標準化及び、Chromiumでの実装が進んでいます。今回は…

ダウンロードもMixed Contentsの対象となる話し

Chrome 81のデスクトップ版から、ダウンロードもMixed Contentsでブロック対象になる話があります。 これにより、https:// のページから http://でリンクされたファイルをダウロードしようとするとブラウザによってブロックされます。

Crash/Deprecation/Intervention Reporting について

ブラウザがWebページを表示する際に発生したエラーを、任意のエンドポイントにレポートさせる「Reporting API」という仕様があります。Crash/Deprecation/Interventionという、エラータイプについて紹介します。

DoHを利用しないように指示するCanary domainの仕組み

DoHは重要ですが、利用が適切でない場合があります。Fifrefoxでは、そのネットワークでDoHを使用するか判断するにあたって「use-application-dns.net.」というCanary Domainを利用する。

ブラウザでIPマルチキャストを受信するMulticastReceiver API

WICGやIETFにおいて、ブラウザでIPマルチキャストのパケットを受信できるようにする「MulticastReceiver API」の議論があるようです。APIとプロトコルの概要について紹介します。

HTTP/3と新しいプライオリティ制御方式について

HTTP/3における優先度制御の話と、現在議論が行っ割れている新しく提案されているプロトコルバージョンに依存しない優先度制御について書きます。

サービスやリソースの廃止時間を示すSunset HTTP ヘッダ (RFC8594)

RFC8594 で定義された、サービスの廃止時間を示すSunsetヘッダについて。

Signed Exchange Reporting for distributors について

Webサイトを一つに固めて署名して再配布可能にする、Web Packagingという仕組みがあります。現在、Web Packagingは以下の3つの仕様からなっています。 Signed HTTP exchanges Bundled HTTP exchanges Loading AMPなどをより標準化された仕組みで実現するため…

Auto Upgrade Mixed Contentとは

20190905 追記 Draft版の仕様が出てきたので「Mixed Content Level 2の仕様について - ASnoKaze blog」を書きました。 HTTPSのサイト内にHTTPで提供される画像やスクリプトがあると、「Mixed Content」の仕組みによりURLバーに黄色い警告が出たり、リソース…