2024年4月1日～2024年4月7日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第151回分。

[Device Bound Session Credentials]

こちらのツイートから。

Fighting cookie theft using device bound sessionshttps://t.co/cHMGjWNVIu
— Gianluca Varisco (@gvarisco) 2024年4月2日

リンク先はこちら。

blog.chromium.org

Chromeのクッキー盗難対策として、Device Bound Session Credentialsという機能の実験を始めたらしい。
秘密鍵と公開鍵のペアを作成し、OSの機能などを利用して秘密鍵を保存しておき、サーバー側の専用のエンドポイントに公開鍵を送って、クッキーの鮮度を維持するような仕組みっぽい。詳細なフローはGitHubにまとまっている。

github.com

これがうまくいけば、XSS攻撃などでセッションIDなどのクッキーを奪われても大丈夫？ただ、non-goalのところでユーザーのマシンで実行されるプログラムは結局ブラウザセッションにアクセスできちゃうので、的なことが書いてあるので、そうでもないのかしら？

タイムラインによると、2024年5月リリース予定のChrome 125でフラグがサポートされ、同11月リリース予定のChrome 131で開発者ツールサポートが実装予定とのこと。

[その他のニュース]

▼いまだにHTTPのサイト

こちらのツイートから。

It's bizarre to me that the Australian Bureau of Meteorology /still/ doesn't support HTTPS, despite it being just a checkbox away in their @Cloudflare configuration. pic.twitter.com/q7GtlElnts
— 🎻 Eric Lawrence (@ericlaw) 2024年4月2日

個人サイトとかだとまだHTTPのサイトをたまに見かける。設定が面倒くさいのかしら。
しかし、官庁のサイトがHTTPSでないというのは、何か理由があるのか、ただの怠慢か...?

こんなツイートも。

さくらのクラウドのオブジェクトストレージ、HTTPを廃止してHTTPSのみにするってよ。ご利用中の皆様。 / “オブジェクトストレージ　通信プロトコルに関する仕様変更のお知らせ” https://t.co/Wwq9SE0COt
— matsuu (@matsuu) 2024年4月7日

リンク先はこちら。

cloud-news.sakura.ad.jp

これはまあ互換性維持のために必要だったのかな、とは思う。

▼rustls + kyber/x25519

こちらのツイートから。

Rustls added experimental support for post-quantum key exchange (using a Kyber/X25519 hybrid scheme)https://t.co/o1RBWzPXOx
— Cryptoki (@Cryptoki) 2024年4月1日

リンク先はこちら。

www.memorysafety.org

Rustlsライブラリが実験的にKyberとX25519のハイブリッド鍵交換をサポートしたとのこと。ChromeやFirefoxなどのブラウザだけでなく、SignalやiMessageなどのメッセージアプリもKyber+X25519に対応してきてるし、どんどんハイブリッドな世の中になっていくなあ。

▼共有辞書圧縮とMITMプロキシ/ファイアウォール

こちらのツイートから。

『Content-Encoding and MITM devices』
Chromeのcompression dictionariesでh1, h2使ってるとMITM機器にブロックされる起きるケースがあると。未知のtrust rootのケースに絞れてるのわかりやすいなhttps://t.co/wQTuaxhQbz
— ゆき (@flano_yuki) 2024年4月4日

リンク先はこちら。

lists.w3.org

TLSではなくHTTPの話ですが...Chromeで実験中の共有辞書圧縮機能が、MITMプロキシやファイアウォールなど、未知のヘッダを利用しているためブロックされるケースがあるとか。セキュリティ上必要なのは分かるけど、こういうのがいると新しい機能が浸透しづらいので難しい...。