今回の振り返りは、例年恒例の個人活動の振り返りに加えて、IETF 標準化界隈についても触れておこうかと思います。

MozillaのMartin Thomson氏から「Optimizations for Using TLS Early Data in HTTP/2」という提案仕様が出ています。もともとHTTP/2(RFC7540)を標準化した時には、TLS1.3(RFC8446)はまだありませんでした。ですので、TLS1.3で導入された 0-RTTデータ (Early …

NTPv5の標準化が進められています。 そこで、実験として世の中のパブリックNTPサーバにNTPv5パケットを送信してみました。

APIのURLや、リソースが非推奨となっている事を示す、新しいDeprecationヘッダを定義する「The Deprecation HTTP Header Field」という仕様が提出されている

2021/10/26追記、TCPLSの提案仕様がIETFに提出されました https://www.ietf.org/archive/id/draft-piraux-tcpls-00.html ルーヴァン・カトリック大学のFlorentin Rochet氏らによって「TCPLS: Closely Integrating TCP and TLS」という論文が出されています。…

先日、Chromiumブログに「Continuing our journey to bring instant experiences to the whole web」という記事が投稿されています。この記事は、ブラウザのプリフェッチ機能とプライバシーの問題について説明をしています。またGoogleやブラウザでの取り組…

ChromeでCookieのSameParty属性の開発が進められている。そこで、CookieのSameParty属性について簡単にメモしていく

「RFC8879 TLS Certificate Compression」が昨日公開されました。これは、TLSハンドシェイク中に送信されるサーバ証明書を圧縮する仕組みを定義しています。

OpenMetricsという仕様が、11月25日にIETFに提出されました。仕様の中身というよりかは、標準化の観点で興味深くおもっているのでラフに書いていこうかと思います。

CDNのキャッシュを制御する「CDN-Cache-Control」を新しく定義する提案仕様「The CDN-Cache-Control HTTP Response Header Field」が出ているので、簡単に紹介する。

リトライされたPOSTリクエストを冪等処理するための、Idempotency-Keyヘッダの提案仕様。

TLS1.3でホスト名が異なるTLS session resumptionを支援する拡張仕様が出ているので紹介する。

NTPの次期バージョンとなるv5のドラフト(草案)が出たので目を通す。

ChromeがHTTP/2サーバプッシュのサポートを廃止を検討し始めている。またPreload + 103 Early Hintsの有効性について実験していく模様

NAT Slipstreaming攻撃の紹介。ALG NAT内の攻撃対象に任意ポートでアクセスできるようになる攻撃。

様々な組織や団体がTLSを安全に利用するためのドキュメントを出してたりする。IETFでも2015年にRFC7525 「Recommendations for Secure Use of TLS and DTLS」として、使用する上での推奨事項をまとめている。それについての詳細は、urushima先生の記事を見て…

QUICのMultipath拡張について、現在提出されている仕様と、10がつ行われた中間会議の様子を簡単に紹介する。

Chromeで実装が進められているPermissions PolicyとDocument Policyについて説明する。

インターネットに公開されているWebサイトから、プライベートアドレスに対するCSRF攻撃対策の議論。

来月リリース予定である、Ubuntu 20.10 は Kernel 5.8 が入っており、mptcpが使えるのか試してみようと思いました。

Wireshark 3.3.0 がHTTP/3に対応したので試す

Google Chromeでは「Extended DNS Errors(EDE)」という仕様のサポートが検討されています。ここでは、Extended DNS Errorsを簡単に紹介します

HTTP/2の仕様の改定作業が開始されています。このhttp2bisについて紹介します

認証付き暗号 "Authenticated Encryption with Associated Data (AEAD)" の利用上の制限について、「Usage Limits on AEAD Algorithms」というドキュメントが公開されている。

ブラウザでTCP, DUPソケットを操作可能にする「Raw Sockets API」という仕様がW3CのWICGで議論されている。

GoogleのDavid Benjamin氏から「Client Hint Reliability」という提案仕様が出されています。

HTTP/2, HTTP/3に対応してるといったHTTPSに必要なサーバ情報をDNSレコードで通知します。

SSH over QUICの提案仕様について説明します。

インターネットやWebにおいて問題になっている「硬直化(ossification)」について、HTTPの例も併せて説明します。

「TLS Application-Layer Protocol Settings Extension」という提案仕様について。これは、TLSハンドシェイク中にアプリケーションプロトコルで必要なパラメータを送信するTLS拡張を定義します。