• SharedArrayBuffer と過渡期な cross-origin isolation の話

    長い記事なので先に結論を書きます。

    Chrome および Firefox で SharedArrayBuffer や高精細タイマーが使えるようになりました。Safari もまもなくです。そのためには cross-origin isolation という状態を有効にするのですが、親となる HTML ドキュメントに下記 2 つのヘッダーを送ります。

    Cross-Origin-Embedder-Policy: require-corp
    Cross-Origin-Opener-Policy: same-origin

    ただ、これを有効にするには様々な条件と制約が存在し、現段階では多くのサイトは苦戦するでしょう。とりあえず従来通り Chrome で動けばいいやということであれば、デプリケーショントライアル (Deprecation Trial) に登録してしばらく様子を見る、という選択肢が無難かもしれません。

    Read more...

  • Spectre の脅威とウェブサイトが設定すべきヘッダーについて

    長い記事なので先に結論を書きます。

    Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。

    • すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。
    • HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。
    • HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニケーションを制御する。
    • すべてのリソースには適切な Content-Type ヘッダーと X-Content-Type-Options: nosniff ヘッダーを追加して、cross-origin からの悪意ある読み込みを防ぐ。

    Read more...

  • Google に入社して 10 年が経った

    Developer Advocate という技術啓蒙の担当者として Google に入社して今日でちょうど 10 年が経った。技術以外のことについてはめったにブログを書くことはないのだけど、 良い節目なのでこの機会に記録を残しておきたい。

    Read more...

  • パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

    不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢 者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理で きる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であること は、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来 てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるよ うにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などか らこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、 実際にはちょっと違います。

    WebAuthn に関しては、すでに数多くの記 事が出て いますので、テクニカルな利用方法についてはそれらに譲るとして、この記事では大局的 な部分、この技術によって未来のアイデンティティがどう変わっていくかなど、大きなビ ジョンについて解説します。

    Read more...

  • 結局 PWA は来るの?来ないの?

    昨日 Twitter でこんな記事を発見しました。

    PWA が来るって言っているエンジニアは今すぐ辞め ろ

    「instagram の PWA が最高〜!ネイティブと見分けつかない!!とかほざいているグー○ ルのエバンジェリストだかエンジニアが騒いでいたので触ってみたのだが、オワコンで あった。」

    もしかしてこれのことかな?

    確かに、この言い方は若干煽り気味のところがあったかもしれません。しかし、 Instagram の PWA について、スクロールの快適さ、投稿時にフィルターがかけられる点 など、「ネイティブと見分けられる自信がない」のは、初めて使った時の僕の率直な感想 ですし、今でも快適に使っています。

    ただ、このツイートをした時点ですべての機能を試したわけではなかったし、後から気付 いた違いもありました。勘違いしないでもらいたいのは、もちろん、だからネイティブア プリは不要だなんて言うつもりはないということです。むしろせっかくなので、この機会 にもう少し PWA について説明しましょう。

    Read more...