QUICをゆっくり解説(2):ネゴせよ | IIJ Engineers Blog
Haskellコミュニティでは、ネットワーク関連を担当。 4児の父であり、家庭では子供たちと、ジョギング、サッカー、スキー、釣り、クワガタ採集をして過ごす。 QUICへの誘導 前回のブログで、ブラウザが HTTP/3 (HTTP over QUIC) に対応したサーバにアクセスしたときに、最初は HTTP/2 を使い、2回目の通信からHTTP/3を使うようになると説明しました。今回は、この過程でクライアントとサーバが何を折衝しているか、以下の順で解説します。 TLSのバージョン HTTPのバージョン HTTP/2からHTTP/3への誘導 QUICのバージョン TLSのバージョン あるURLで指定されたサーバにクライアントがアクセスすることを考えます。URLは、httpsで始まっていたとしましょう。つまり、TLSの中でHTTPが使われます。現在推奨されているTLSのバージョンは、1.2と1.
HTTP Security Headers - A Complete Guide
SECURITY IS AWESOME SECURITY IS AWESOME I write about security and privacy. I regularly post original security research, custom tools, and detailed technical guides. Companies selling "security scorecards" are on the rise, and have started to become a factor in enterprise sales. I have heard from customers who were concerned about purchasing from suppliers who had been given poor ratings, and in a
奥一穂さんインタビュー - Tokyo RubyKaigi 11
13:25 Invited Speaker 最速ウェブサーバの作り方 近年、ウェブの体感速度は、ネットワークのバンド幅ではなくレイテンシによって律速される傾向が強まってきています。また、それに伴い、TCP Fast Open、HTTP/2、TLS 1.3といった、レイテンシの影響を削減/隠蔽する技術の標準化が進んでいます。本セッションでは、HTTP/2サーバ「H2O」の主開発者が、レイテンシの影響削減を主目的とするサーバのプログラミング技法や、HTTP/2の更なる高速化を実現する手法として標準化提案中の「Cache Digest」等を紹介し、それらをrubyから制御する手法を検討します。 必要となる知識 TCP/IPとUnixのソケットプログラミングに関する基礎的な知識があると、分かりやすいかと思います。 奥一穂 株式会社ディー・エヌ・エー MIT TR100、日本OSS貢献者賞受賞、未踏
2015年Webサーバアーキテクチャ序論 - ゆううきブログ
2023年03月31日追記:この記事を基に、@sadnessOjisanさんより、コードレベルにより踏み込んだ、かつ、グリーンスレッドベースの新しいWebサーバアーキテクチャも含めて整理された記事 Webサーバーアーキテクチャ進化論2023 | blog.ojisan.io が公開されました。 主に新卒のWebエンジニア向けに、古典的なWebサーバアーキテクチャを学ぶ道のりと代表的な実装モデルの概要を紹介します。 この辺りの話題がWeb界隈で流行っていたのは数年以上前というイメージですが、Webサービスは相変わらずWebサーバの上で動いているので、流行り廃り関係なく学ぶべき内容だと思っています。 また、HTTP/2がいよいよRFC化し、既にh2oやtrusterdなどのHTTP/2のサーバ実装があり、今後Webサーバアーキテクチャを再訪することが増えるような気がしています。 ところが、We
HTTPからHTTPSへの移行で出てきた質問に回答
[対象: 中〜上級] Googleは、HTTPSをランキングシグナルとして取り入れました。 HTTPからHTTPSへ移行する際のサイト管理者たちからの質問にGoogleのJohn Mueller(ジョン・ミューラー)氏がGoogle+で回答しています。 僕たちにも参考になるので紹介します(すべてではありません。一部はHTTPS Everywhereからです)。 HTTPS移行への質問に対するジョン・ミューラー氏から回答 Q: 「HTTPSを考慮に入れる」というのは、HTTPSページの順位を上げるということか? A: そのとおり。今のところはわずかだが、HTTPSのほうが上位になることがある。 Q: EV SSLなどサーバー証明書には種類があるがどれにすべきなのか? A: 種類は問わない。今のところGoogleが条件に【UPDATE】推奨しているのは 2048 bit(以上)の証明書であるこ
HTTP/2がHTTPbisワーキンググループのラストコールに
HTTPの次バージョンとなるHTTP/2の仕様を検討しているIETFのHTTPbisワーキンググループは、7月30日付けのHTTP/2のドラフト文書をもってワーキンググループのラストコールしたことを明らかにしました。 Working Group Last Call: draft-ietf-httpbis-http2-14 and draft-ietf-httpbis-header-compression-09 from Mark Nottingham on 2014-08-01 ([email protected] from July to September 2014) 同ワーキンググループは6月からラストコールへの動きを進めていましたが、7月30日に公開した14番目のドラフト文書で、課題としてリストアップされていた内容にすべて対応。これをもってラストコールとすると、8月1日付けのメーリ
RESTful Web Services より良いWebインタフェースの構築と分散型システム連携:第2回:REST導入における勘所 ~誤った導入をしないために~ | 豆蔵ソフト工学ラボ
RESTful Web Services より良いWebインタフェースの構築と分散型システム連携 第2回:REST導入における勘所 ~誤った導入をしないために~ 印刷 株式会社豆蔵 BS事業部 コンサルタント 五味 和人 2009/12/03 [アーキテクチャ] 前回の記事では、REST の原理原則についてお話させて頂きましたが、ざっと RESTの概要をご理解頂けましたでしょうか。続編となる本記事では、もう少し踏み込んだ形で、REST アーキテクチャの種類と、導入における勘所をお話させて頂きます。 1. RESTfulとREST-RPC、そしてハイブリッド 一般的にRESTスタイルのアーキテクチャには以下の3つがあります。 外観的にも内観的にも、アーキテクチャがRESTの思想に準拠しているものを指します。 どこまで完全準拠するかといった点では、アーキテクトの主観が介入するところではありま
カスタム・アプリケーションによる認証フローとプログラミング
ネイティブ・アプリのプログラム・コードから認証を行う方法とは? Azure Active Directoryを例に、OAuth 2.0をベースにした、プラットフォームに依存しない新しい手法を考察する。 ← 前回 連載 INDEX 次回 → プログラマーにとっての新たな課題 ユーザー(=利用者)にとって便利なことは、必ずしも開発者(=プログラマー)にとって便利であるとは限らない。 これまでの連載の中で見てきたように、Google/Facebook/Microsoftアカウントなど、昨今のクレーム・ベースの認証は、やりとりに関するルールが「Webブラウザーを使用してアクセスすること」を前提として標準化されている(つまり、Web標準をベースとして、標準化されている)。しかし、標準化されているのは、多くがHTTPのリクエスト(Request)と、それに対するレスポンス(Response)であり、そ
社内業務システムのWebAPI実装を考えてみる - おかひろの雑記
今まで仕事上、業務システムを開発してきましたが、ブラウザでアクセスするWebアプリケーションばかりでした。 しばらくはWebアプリ開発も続くでしょうが、ようやくタブレット端末を会社で活用する流れが出てきたので、 せっかく開発したWebアプリにタブレット端末からでもアクセスできるように、WebAPIの実装について考えてみました。 なおjQueryMobileなどを使ったWebアプリにする選択肢もありますが、ここはあえてJSON/JSONPを返すWebAPIの実装を考えます。 仕様 http/httpsアクセスできるものとし、レスポンスはJSON/JSONPで選択できる。 業務システムなので、認証がある。 認証は一度行ったらログアウトなどをしない限り継続する。 認証部分はなるべく簡単に独自実装。 ログアウトも可能。 システムの利用ユーザーを変更する場合はログアウトして再ログイン。 エラーが発生
HAProxy で MySQL のヘルスチェックをちょっと便利にする - 酒日記 はてな支店
MySQL で slave を複数台立てて参照分散するには、HAProxy を利用してロードバランスと切り離しを行うと手軽に使えて便利です。 option mysql-check という設定で、HAProxy 自身が mysqld に接続してヘルスチェックが可能です。 listen mysql-slave bind 127.0.0.1:3307 mode tcp option mysql-check user haproxy balance roundrobin server slave1 192.168.1.11 check server slave2 192.168.1.12 check server slave3 192.168.1.13 checkなのですが、この設定だと以下のように少々不便なことがあります。 mysqldに接続できるかどうかのみを死活の判断にしているので、レプリケ
HTTP2でWebがどうなるか9つのこと(自分用メモ - ASnoKaze blog
宣伝 2015/11 追記 ソフトウェアデザイン 11月号に HTTP/2の特集記事を書かせていただきました。より詳しく書きましたので、本記事より参考になるかと思います。 http://www.amazon.co.jp/dp/B01494YKUI HTTP2は2014年4月のWG Last Callに向けて、仕様策定が進められている。 現在も、ロンドンで行われているIETFのミーティングでは熱い議論が行われているところであろう。 (local activityとして日本での活動なども紹介されているようです) HTTP2の仕様を決めているHTTPbisワーキンググループのchairであるMark Nottingham氏が、自身のブログにて「Nine Things to Expect from HTTP/2」という記事が投稿されている。 ここでは、HTTP2が何をもたらすか以下の観点で説明して
Webを支えるプロトコル - ASnoKaze blog
若者のプロトコル離れが叫ばれて久しいが、最近プロトコルは非常にホットな分野である。 目まぐるしく進化するWebに合わせ、プロトコルの世界も着実に進化している。 今までブラウザでは出来なかった事が出来るようになり、Webサービスをより安全に使えるようになった。 そしてWebのパフォーマンスを大きく改善するためにHTTP2.0も議論されている。 Webを支えるプロトコルとして、大きく分けて3つに分けられるかと思う(私の勝手なイメージ、正確な図ではありません) Webアプリケーション ブラウザが今まで出来なかったことを出来るようにしたり、Webアプリケーションの認証・認可などの機能を提供するプロトコルなど。JSやサーバサイドプログラミングで利用したりする。 WebSocket (http://tools.ietf.org/html/rfc6455) ブラウザとWebサーバの間でソケット通信を行う
Referrer を制御する - Qiita
Web ブラウザーは通常 HTTP 要求の Referer: ヘッダーに参照元ページの URL を入れますが (あるいは document.referrer で参照元ページの URL を取得できますが)、 Web サイト側でこれを制御したいことがあります。 例えば、次のような場面が想定されます。 URL にユーザー名や秘密の ID などを含めざるを得ない時は、プライバシーやセキュリティーの観点から、この URL を外部に漏らしたくありません。 社内システムに URL を貼りたいことがありますが、社内システムの URL を外部に漏らしたくありません。 Web アプリケーションの開発用サーバーは、その所在を外部に漏らしたくありません。 投稿者と友達のみに公開される SNS の投稿にリンクが含まれる時、その個別 URL を漏らしたくありません。 (SNS 全体の URL が漏れることは問題ありま
今夜つける HTTPレスポンスヘッダー (セキュリティ編) - うさぎ文学日記
Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなどもありますので、クライアントの環境によっては機能しないこともあります。 X-Frame-Options ブラウザが frame または iframe で指定したフレーム内にページを表示することを制御するためのヘッダーフィールドです。主にクリックジャッキングという攻撃を防ぐために用いられます。 X-Frame-Options: SAMEORIGIN DENY フレーム内にページを表示することを禁止(同じサイト内であっても禁止です) SAMEORIGIN 自分自身と生成元が同じフレームの場合にページを表示することを許可(他のサイトに禁止したい場合は主にこ
アプリケーション・サーバのセッションの保存先の話 - プログラマでありたい
Webシステムの方式設計をする際に、わりと悩むのがアプリケーション・サーバのセッション(session)の保存先です。アプリケーションサーバとは、TomcatやJBoss,IISやRuby on Railsなどで利用するUnicornやPassengerなどです。そもそもHTTPの基本仕様がステートレスな為、状態を保持する為にはどこかに状態を保持する必要があります。その解決策がセッションになります。そこでセッションの保存戦略を考える必要があるのですが、アプリケーションサーバやサイトの用途や性格、扱うデータの気密性・重要性によっても変わってきます。 それ以前にセッションの保存先のことの呼び方の定番が何かすら解らなかったりします。セッション・ストアとかセッション・ストレージとか、はたまたセッション・マネージャーとか。今回は、セッション・ストアで統一します。 主なセッションストアの種類と保存戦略
スマホ向け表示を分けているときはVary HTTPヘッダーを使うこと など10+4記事(海外&国内SEO情報) | 海外&国内SEO情報ウォッチ
スマホ向け表示を分けているときはVary HTTPヘッダーを使うこと ★★★★☆ グーグルが理解できるように (Google Webmaster Help on YouTube)グーグルが推奨するモバイルサイト構成には3つ種類がある。「レスポンシブWebデザイン」「同一URLで端末によって出し分け」「スマホ向けを別URLで作り、リダイレクトする」の3つだ。 このうちレスポンシブWebデザイン以外の2つの構成では、アクセスしてきた端末の「User-Agent(UA、ユーザーエージェント)」の情報に基づいてPCとスマートフォンで異なるHTML(やCSS)を返す。 これら2つの構成を採用する際には、Vary HTTPヘッダーを使用することをグーグルは強く勧めている。 Vary HTTPヘッダーとは、サーバーにアクセスがあったときに、データと一緒にサーバーから返すHTTPヘッダーの1つで「Vary
いい加減、<script src="http://.. と書くのはやめましょう - DQNEO起業日記
外部サイトのJSファイルを読み込むときに、こういう書き方するのはやめましょう。 <script src="http://example.com/js/jquery.js"></script> 理由 あなたのサイトが、いつの日かSSLに対応することになったとき、そのscriptタグがバグの原因になります。 ご覧のとおり、HTTPSページの中でHTTP要素を読み込もうとすると、ブラウザによっては安全装置が働いて読み込んでくれないのです。 上の例ではjQueryの読み込みに失敗していますが、エラーメッセージ「Uncaught ReferenceError: jQuery is not defined 」を見てもHTTPS/HTTPのプロトコルが原因だとはすぐ気づかないので、わかりにくいバグになってしまいます。 結論 JSファイル(とかCSSとか画像とか)を読み込むときは、"http:"の部分を省
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
HTTP/2 入門
REST clientのPostmanが便利だった - 偏った言語信者の垂れ流し
