Tender Surrender
ウェブの未来を夢見るブログ
-
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。
Read more... -
SharedArrayBuffer と過渡期な cross-origin isolation の話
2021/12/26: Safari も 15.2 から COOP/COEP を使って
SharedArrayBuffer
が利用できるようになったので、該当箇所の表記を変更しました。長い記事なので先に結論を書きます。
Chrome、Firefox および Safari で
SharedArrayBuffer
や高精細タイマーが使えるようになりました。そのためには cross-origin isolation という状態を有効にするのですが、親となる HTML ドキュメントに下記 2 つのヘッダーを送ります。Cross-Origin-Embedder-Policy: require-corp
Cross-Origin-Opener-Policy: same-originただ、これを有効にするには様々な条件と制約が存在し、現段階では多くのサイトは苦戦するでしょう。とりあえず従来通り Chrome で動けばいいやということであれば、デプリケーショントライアル (Deprecation Trial) に登録してしばらく様子を見る、という選択肢が無難かもしれません。
Read more... -
Spectre の脅威とウェブサイトが設定すべきヘッダーについて
長い記事なので先に結論を書きます。
Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。
- すべてのリソースは
Cross-Origin-Resource-Policy
ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 - HTML ドキュメントには
X-Frame-Options
ヘッダーもしくはContent-Security-Policy
(CSP) ヘッダーのframe-ancestors
ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 - HTML ドキュメントには
Cross-Origin-Opener-Policy
ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニケーションを制御する。 - すべてのリソースには適切な
Content-Type
ヘッダーとX-Content-Type-Options: nosniff
ヘッダーを追加して、cross-origin からの悪意ある読み込みを防ぐ。
- すべてのリソースは
-
Google に入社して 10 年が経った
Developer Advocate という技術啓蒙の担当者として Google に入社して今日でちょうど 10 年が経った。技術以外のことについてはめったにブログを書くことはないのだけど、良い節目なのでこの機会に記録を残しておきたい。
Read more... -
パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。
WebAuthn に関しては、すでに数多くの記事が出ていますので、テクニカルな利用方法についてはそれらに譲るとして、この記事では大局的な部分、この技術によって未来のアイデンティティがどう変わっていくかなど、大きなビジョンについて解説します。
Read more...