Web
Chrome Canaryで『Network Time for Certificate Verification』という機能を有効にできます。これは、サーバ証明書を検証する際に、PC端末の時刻ではなくネットワークから取得した時刻を使って検証するようにする機能です。 これまでの挙動 これまでの挙動…
Apple勢から「Origin-Bound One-Time Codes」というSMSで発行するワンタイムコードのフォーマットの提案仕様がIETFに提出されています。こちらの仕組みの標準化ということで良いかなと思います。 developer.apple.com 背景 Webのログイン時にSMSでワンタイム…
Short-lived証明書について
自動でhttpからhttpsにアップグレードする『HTTPS Upgrade』について
「Link relationship types for authentication」という仕様が、IETFのHTTPAPI WGで議論されています。例を見るのがわかりやすいと思います。 authenticate aリンクで、リンク先をログインページということを示すことが出来るようになります。コレに対してブ…
現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」…
クエリパラメータ付きURLのキャッシュを改善する No-Vary-Search ヘッダ
Webサイトを離れたときにサーバにデータを送れるようにする「Page Unload Beacon」について
一般ユーザに払い出すと危険なサブドメインやメールアドレス。
Webサイトのバグの報告先を示す contributing.txtについて
Chromeではキャッシュの効率改善を目的とした「Cache Transparency」という仕組みが検討されている。
ブラウザでTCPを直接送受信できるDirect Sockets APIについて
「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。
W3Cに新しく、Webでのマルチキャストの利用を検討する「Multicast Community Group」が立ち上がるので、動向についてまとめる。
サーバ証明書の誤発行を検知するためのCertificate Transparencyにおいて、ChromeにSCT Auditingの導入が進められている。
HTTPセマンティクス仕様の改訂版について、ざっくり変更点を説明する。
Webページのサブリソースを1つにまとめる 「Resource bundles」 という仕組みについて解説する。
ZeroSSLで無料のIPアドレス証明書を取得する。
APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている
先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…
ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく
Chromeで実装が進められているPermissions PolicyとDocument Policyについて説明する。
インターネットに公開されているWebサイトから、プライベートアドレスに対するCSRF攻撃対策の議論。
ブラウザでTCP, DUPソケットを操作可能にする「Raw Sockets API」という仕様がW3CのWICGで議論されている。
サポートしていないwell-known URIs へのリクエストに対して200番を返すサーバを検出するための仕組み。
オリジン全体にポリシーを適応する「Origin Policy」という機能をChromeで試してみました。CSPやFeature-Policyのポリシーが適応できます。
2022/01/04追記: この記事はすでに古いです。WebTransport over QUICは標準化せずに、WebTransport over HTTP/3を標準化する方向です。Chromeの実装もそちらに移っています。 "WebTransport over QUIC"の標準化及び、Chromiumでの実装が進んでいます。今回は…
Chrome 81のデスクトップ版から、ダウンロードもMixed Contentsでブロック対象になる話があります。 これにより、https:// のページから http://でリンクされたファイルをダウロードしようとするとブラウザによってブロックされます。
ブラウザがWebページを表示する際に発生したエラーを、任意のエンドポイントにレポートさせる「Reporting API」という仕様があります。Crash/Deprecation/Interventionという、エラータイプについて紹介します。
DoHは重要ですが、利用が適切でない場合があります。Fifrefoxでは、そのネットワークでDoHを使用するか判断するにあたって「use-application-dns.net.」というCanary Domainを利用する。