Spectre の脅威とウェブサイトが設定すべきヘッダーについて
長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ
`<meta charset="UTF-8">` を書く必要性があるケースとデメリット
HTML 文書内に <meta charset="UTF-8"> を書いていますか? 書いているとしたら、その必要性を問われた時に理由を説明できますか? 実は私も勘違いしていた部分があり[1]、改めてまとめてみました。 <meta> による文字エンコーディング指定の歴史 Content-Type ヘッダーと <meta> の関係性と優先度 <meta> が必要なケース <meta> で文字エンコーディングを指定するデメリット <meta> による文字エンコーディング指定の歴史 § まず基本的なおさらいをします。<meta charset="UTF-8"> は HTML5 で登場した新しい記法で、 HTML4 以前は <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> などという長くて覚えにくい書き方をしてい
crossorigin 属性の仕様を読み解く
本記事では HTML タグに指定可能な crossorigin 属性について仕様を参照しながら詳しく解説します。crossorigin 属性は複数の意味を表しており、またそれを指定するタグの他の属性値によって振る舞いが変わってしまうことから、その挙動を正確に理解するのがなかなか難しい属性です。 HTML 仕様は日々進化しています。本記事で説明している内容は記事執筆時点のものであり、閲覧時点では古くなっている可能性があります。正確な情報を知りたい方は必ず最新の仕様を確認するようお願いします。 要点だけを知りたい方は最後の「まとめ」を読んでください。 目次 crossorigin 属性はどこで使われている? crossorigin 属性は何を意味するのか? request mode credentials mode crossorigin 属性の意味のまとめ crossorigin 属性の振る
ActiveXコントロールは死んだ L'eclat des jours(2015-04-04)
_ ActiveXコントロールは死んだ 消費者市場ではフラッシュなどを除けばとっくの昔に死んでいるが、業務用としても死んでいる。 最近、やっとそれが動きが遅いところでも理解されはじめたようだ。と、とあるシステムのアーキテクチャを見て感慨深かった。 死んだ理由はいろいろあるが、一番重要なのは、結局のところマシンとそれを取り巻くパワーの向上によって、JavaScriptがまともな速度で動くようになったこと、ネットワークが速くそこそこ信頼性が向上したことだ。 それにともなって、各種の規格に対する知識が雰囲気として知れ渡って来た(正確に理解している層は最初から正確に理解しているわけだが、そうではなく、なんだかわけがわからないと考えている上に調べる気も知る気も無い層が、なんだかありふれていて普通に手が届くものだという曖昧模糊たるコンセンサスが生じたということ)ことが挙げられる。それが証拠に初心者です
初めてのHTTP/2サーバプッシュ | GREE Engineering
前回はWebサイトをHTTP/2に対応するためにリバースプロキシを検証した記事を書かせていただきました(HTTP2を試してみる)。 あれから幾つかの議論を経てHTTP/2の仕様も大分安定してきており、HTTP/2を実装したクライアントや実験的にHTTP/2を有効にしているサービスもあるので実際に試すことも出来ます。 そこで今回は応用編としてHTTP/2のサーバプッシュについて、その仕組と実際に試したことについて書かせていただきます。 余談ですが、 現在の仕様では "HTTP2.0" ではなく "HTTP/2" もしくは "HTTP2" が正しい名称になります。 HTTP/2概要 まず、軽くHTTP/2の概要に触れておきます。 HTTP/2は2012年の末頃より、HTTP/1のセマンティクスを維持したままパフォーマンスを改善する目的で議論が開始されました。 Googleの考案したSPDYと言
Internet Explorer 11 における文字列表示の変更点について - Blogs - Japan IE Support Team Blog - Site Home - TechNet Blogs
Internet Explorer 11 における文字列表示の変更点について 02/13/2014 2 minutes to read こんにちは、Internet Explorer サポート担当の原です。 本日は、日本のお客様から比較的お問い合わせを多くいただいている、Internet Explorer 11 における文字列表示の変更点を紹介します。 Internet Explorer 11 (以下、IE11) において、高 DPI 対応のためにすべてのドキュメント モードでナチュラル メトリックが有効に変更されました。 ナチュラル メトリックでは、解像度に依存せず読みやすいテキストを表示するため、ピクセルにまたがる自動的な間隔調整を行います。 そのため、フォントの表示サイズが一定とはならないことがあります。 また、フォントの表示サイズの調整が行われる結果、すべてのコントロールの表示にお
Webフレームワークとは何か - HackerNews翻訳してみた
「HackerNews翻訳してみた」が POSTD (ポスト・ディー) としてリニューアルしました!この記事はここでも公開されています。 Original article: What is a Web Framework? by Jeff Knupp Webアプリケーションフレームワーク、略して「Webフレームワーク」がWeb対応のアプリケーション構築に広く使われているのは、皆さんご存じですよね。単純なブログからAjax機能を搭載した複雑なアプリケーションまで、Web上のすべてのページはコードで記述されています。最近気になるのは、FlaskやDjangoのようなWebフレームワークに興味を持ってはいるけれど、実際にはWebフレームワークの目的や機能をちゃんと理解していない開発者が意外に多いということです。そこでこの記事では、ややもすれば見落とされがちなトピックであるWebフレームワークの基
なぜ html の form は PUT / DELETE をサポートしないのか? - Block Rockin’ Codes
注意 内容については一切保証しません。 ここでは、主に W3C ML での議論や各種仕様などに基づいて書いています。 ここに書かれていることが正しいかどうかは、自身で判断して下さい。 事実としておかしいところなどは、コメントでどんどん指摘して下さい。遠慮はいりません。 ただし、このエントリでは「form が PUT/DELETE をサポートするべきかどうか?」の議論はしません。 「REST の是非」や「PUT/DELETE の意義」についても議論する気はありません。 ここでやっているのは、あくまでもどういった議論の末現状があるのかの調査です。 そうした意見がある場合は、 W3C などに投稿するのが最も有益だと思います。 History 2014/03/29: 公開 2014/03/29: XForm と XHTML の関係を明確化(thanx koichik) 2014/03/29: HT
Google先生の検索結果リンクが予想以上に作り込まれていた件 - Y's note
Index 検索結果のリンクは単なるRedirectorでは無かった 検索結果のhttps化 httpsからhttpページへの遷移ではブラウザはRefererを送らない Google先生はRerererを送る仕組みを実装してくれた Refererが送信される処理の流れを追う httpsからhttpsページへの遷移はどうなるか Google Analyticsで検索Queryが「not provided」となる本当の理由 まとめ 検索結果のリンクは単なるRedirectorでは無かった 知らなかったのが僕だけだったら凄い恥ずかしい内容なんですが、今までGoogle先生の検索結果として表示されるリンクのURLはGoogle内部でClick集計するためのRedirector機能だと思っていました。カウントアップの集計を記録したら本来のURLに遷移させるような。当然そのClick数を集計する機能も
Referrer を制御する - Qiita
Web ブラウザーは通常 HTTP 要求の Referer: ヘッダーに参照元ページの URL を入れますが (あるいは document.referrer で参照元ページの URL を取得できますが)、 Web サイト側でこれを制御したいことがあります。 例えば、次のような場面が想定されます。 URL にユーザー名や秘密の ID などを含めざるを得ない時は、プライバシーやセキュリティーの観点から、この URL を外部に漏らしたくありません。 社内システムに URL を貼りたいことがありますが、社内システムの URL を外部に漏らしたくありません。 Web アプリケーションの開発用サーバーは、その所在を外部に漏らしたくありません。 投稿者と友達のみに公開される SNS の投稿にリンクが含まれる時、その個別 URL を漏らしたくありません。 (SNS 全体の URL が漏れることは問題ありま
Hatena::agendaを移し終えて (agenda)
昨今コミュニケーションの部分が重視されている「ウェブ」だが、私にとってのウェブは、ハイパーテキストを公開する手段という認識が根本にある。そこで繋がっているのは人ではなく、ハイパーテキストと呼ばれる文書である。 わが国でブログと呼ばれているウェブ上の交換日記は、コミュニケーション手段、あるいは自己顕示欲を満たす手段として使われたらそれでお終いであり、ハイパーテキスト間の繋がりは軽視されている傾向がある。その証拠に、過去の記事で紹介したブログへの数百のリンクの内、アメリカ人のブログへのリンクは殆ど全てそのまま利用できたのに対し、日本人の「ぶろぐ」へのリンクは7割以上がデッドリンクになっていた。つまり記事が消されたか、あるいは非公開にされたのである。もっともアメリカ人といってもウェブに関するリテラシが高くそれで飯を食っている人々ばかりであるから、公平ではない。しかし私がリンクした記事の日本人の著
ネットワーク総合辞書 - The all-round Dictionary of Network Terms
Keyは、人文科学分野・自然科学分野・情報技術分野などに属する対象を、特定の分野にとらわれず様々な角度から解説を行う「雑学事典」です。それぞれが独立しているかのように見える知識と知識を互いに結び付けることにより、知識ネットワークの価値を飛躍的に高めようとする試みのもと、この雑学事典は作成されています。ぜひそれぞれのページからページ、知識から知識へと知識ネットワークを広げ、あなたのひらめきに雑学事典を役立てて下さい。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20100416/p01/