Web

Chromeで、サーバ証明書検証時にネットワークから取得した時刻を使う

Chrome Canaryで『Network Time for Certificate Verification』という機能を有効にできます。これは、サーバ証明書を検証する際に、PC端末の時刻ではなくネットワークから取得した時刻を使って検証するようにする機能です。 これまでの挙動 これまでの挙動…

『Origin-Bound One-Time Codes』の提案仕様

Apple勢から「Origin-Bound One-Time Codes」というSMSで発行するワンタイムコードのフォーマットの提案仕様がIETFに提出されています。こちらの仕組みの標準化ということで良いかなと思います。 developer.apple.com 背景 Webのログイン時にSMSでワンタイム…

失効が不要なShort-lived証明書に関するmemo

Short-lived証明書について

HTTPSに自動で切り替えるChromeのHTTPS Upgradeについて

自動でhttpからhttpsにアップグレードする『HTTPS Upgrade』について

認証関連のリンクを示す『Link relationship types for authentication』

「Link relationship types for authentication」という仕様が、IETFのHTTPAPI WGで議論されています。例を見るのがわかりやすいと思います。 authenticate aリンクで、リンク先をログインページということを示すことが出来るようになります。コレに対してブ…

セキュリティ関連のHTTPヘッダを一括指定する Baseline ヘッダ

現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」…

クエリパラメータ付きURLのキャッシュを改善する No-Vary-Search ヘッダ

クエリパラメータ付きURLのキャッシュを改善する No-Vary-Search ヘッダ

Webサイトを離れたときにデータを送る Page Unload Beacon (Pending Beacon API)

Webサイトを離れたときにサーバにデータを送れるようにする「Page Unload Beacon」について

一般ユーザに払い出すと危険なサブドメインやメールアドレス

一般ユーザに払い出すと危険なサブドメインやメールアドレス。

Webサイトのバグの報告先を示す contributing.txt

Webサイトのバグの報告先を示す contributing.txtについて

ChromeのCache Transparencyに関するメモ

Chromeではキャッシュの効率改善を目的とした「Cache Transparency」という仕組みが検討されている。

ブラウザでTCPを直接送受信できるDirect Sockets APIについて

ブラウザでTCPを直接送受信できるDirect Sockets APIについて

ホスト名の最後が数字なURLの扱いについて

「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。

WebでのIPマルチキャストの利用検討 (Multicast Community Group)

W3Cに新しく、Webでのマルチキャストの利用を検討する「Multicast Community Group」が立ち上がるので、動向についてまとめる。

サーバ証明書の不正発行に対するSCT Auditing

サーバ証明書の誤発行を検知するためのCertificate Transparencyにおいて、ChromeにSCT Auditingの導入が進められている。

HTTPセマンティクス仕様の改訂版(RFC9110) まとめ

HTTPセマンティクス仕様の改訂版について、ざっくり変更点を説明する。

Webページのサブリソースを一つにまとめる Resource bundles (Bundle preloading) とは

Webページのサブリソースを1つにまとめる 「Resource bundles」 という仕組みについて解説する。

ZeroSSL ならIPアドレスのサーバ証明書が取得できる

ZeroSSLで無料のIPアドレス証明書を取得する。

URLリソースの非推奨を示すDeprecationヘッダ

APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている

GoogleのPrivate prefetch proxyに関するメモ

先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…

Cookieの新しい属性、SameParty属性について

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく

Permissions PolicyとDocument Policyについて

Chromeで実装が進められているPermissions PolicyとDocument Policyについて説明する。

ChromeのSecure context restriction for external requests

インターネットに公開されているWebサイトから、プライベートアドレスに対するCSRF攻撃対策の議論。

ブラウザからTCP, UDPソケットを操作するDirect Sockets API

ブラウザでTCP, DUPソケットを操作可能にする「Raw Sockets API」という仕様がW3CのWICGで議論されている。

サポートしてないwell-known URIs に対するステータスコードを確認する提案仕様

サポートしていないwell-known URIs へのリクエストに対して200番を返すサーバを検出するための仕組み。

オリジン全体にポリシーを適応するOrigin PolicyをChromeで試す

オリジン全体にポリシーを適応する「Origin Policy」という機能をChromeで試してみました。CSPやFeature-Policyのポリシーが適応できます。

WebTransport over QUICのサンプルサーバを試してみる

2022/01/04追記: この記事はすでに古いです。WebTransport over QUICは標準化せずに、WebTransport over HTTP/3を標準化する方向です。Chromeの実装もそちらに移っています。 "WebTransport over QUIC"の標準化及び、Chromiumでの実装が進んでいます。今回は…

ダウンロードもMixed Contentsの対象となる話し

Chrome 81のデスクトップ版から、ダウンロードもMixed Contentsでブロック対象になる話があります。 これにより、https:// のページから http://でリンクされたファイルをダウロードしようとするとブラウザによってブロックされます。

Crash/Deprecation/Intervention Reporting について

ブラウザがWebページを表示する際に発生したエラーを、任意のエンドポイントにレポートさせる「Reporting API」という仕様があります。Crash/Deprecation/Interventionという、エラータイプについて紹介します。

DoHを利用しないように指示するCanary domainの仕組み

DoHは重要ですが、利用が適切でない場合があります。Fifrefoxでは、そのネットワークでDoHを使用するか判断するにあたって「use-application-dns.net.」というCanary Domainを利用する。