Let's Encryptが6日間のShort-Lived証明書のサポートを発表しました。それに合わせて、IPアドレス証明書の発行もサポートされました。 「6-day and IP Address Certificates are Generally Available」http://1.1.1.1 が実際にIPアドレス証明書を使ってたり…

証明書の自動発行にACMEでは、ドメイン検証が幾つか定義されています。その一つにはDNS-01チャレンジは、証明書を発行するたびに指定されたDNSレコードを作成する必要があります。新しいDNS-PERSIST-01では一度設定すれば、それ以降証明書発行時にはDNSレコ…

HappyEyeballsは、IPv4とIPv6を試行し早く接続したほうを利用します。 一方で、HappyEyeballsを使うことで接続の問題に気づきづらいという主張もあります。IPv4もしくはIPv6のどちらかでネットワーク上のエラーがあったとしても、もう片方にフォールバックさ…

Connection Allowlistsは、Webサイトで通信可能なURLの許可リストを指定し制限できます。

以前紹介した ブラウザからTCP・UDP通信を行えるDirect Sockets APIというものがあります。（ Isolated Web Appsで動作する場合のみ使用できます ） asnokaze.hatenablog.comこのDirect Sockets APIに、マルチキャスト通信を行えるようにする提案が出ていま…

WHATWGで、オリジンを表現し比較可能にするOrigin Objectの定義が提案されている。 github.com今までオリジンの比較などはポリフィルで行われていたが、仕様に加える提案である。 具体例 Explainerを実際に見たほうがイメージが湧くと思います // Tuple Orig…

WebにアクセスしてきたAIエージェントやクローラBotが正しいか、確認出来るようにする仕組みがIETFに提案されています。

フィッシングやマルウェアのURLを共有する時、リンク化されないように hxxp://example[.]comのように記載する事があると思います。その変換形式を定義する、『A Standard for Safe and Reversible Sharing of Malicious URLs and Indicators』という提案仕様…

W3CのWeb Application Securityワーキンググループにおいて、Chromeチームから『Local Network Access』というセキュリティ機構の提案がされています。これは、パブリックなWebページからローカルネットワークへのアクセスを保護するための仕組みです。ただ…

Chrome Canaryで『Network Time for Certificate Verification』という機能を有効にできます。これは、サーバ証明書を検証する際に、PC端末の時刻ではなくネットワークから取得した時刻を使って検証するようにする機能です。 これまでの挙動 これまでの挙動…

Apple勢から「Origin-Bound One-Time Codes」というSMSで発行するワンタイムコードのフォーマットの提案仕様がIETFに提出されています。こちらの仕組みの標準化ということで良いかなと思います。 developer.apple.com 背景 Webのログイン時にSMSでワンタイム…

Short-lived証明書について

自動でhttpからhttpsにアップグレードする『HTTPS Upgrade』について

「Link relationship types for authentication」という仕様が、IETFのHTTPAPI WGで議論されています。例を見るのがわかりやすいと思います。 authenticate aリンクで、リンク先をログインページということを示すことが出来るようになります。コレに対してブ…

現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」…

クエリパラメータ付きURLのキャッシュを改善する No-Vary-Search ヘッダ

Webサイトを離れたときにサーバにデータを送れるようにする「Page Unload Beacon」について

一般ユーザに払い出すと危険なサブドメインやメールアドレス。

Webサイトのバグの報告先を示す contributing.txtについて

Chromeではキャッシュの効率改善を目的とした「Cache Transparency」という仕組みが検討されている。

ブラウザでTCPを直接送受信できるDirect Sockets APIについて

「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。

W3Cに新しく、Webでのマルチキャストの利用を検討する「Multicast Community Group」が立ち上がるので、動向についてまとめる。

サーバ証明書の誤発行を検知するためのCertificate Transparencyにおいて、ChromeにSCT Auditingの導入が進められている。

HTTPセマンティクス仕様の改訂版について、ざっくり変更点を説明する。

Webページのサブリソースを1つにまとめる 「Resource bundles」 という仕組みについて解説する。

ZeroSSLで無料のIPアドレス証明書を取得する。

APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている

先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく