2024年4月1日~2024年4月7日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第151回分。
[Device Bound Session Credentials]
こちらのツイートから。
Fighting cookie theft using device bound sessionshttps://t.co/cHMGjWNVIu
— Gianluca Varisco (@gvarisco) 2024年4月2日
リンク先はこちら。
Chromeのクッキー盗難対策として、Device Bound Session Credentialsという機能の実験を始めたらしい。
秘密鍵と公開鍵のペアを作成し、OSの機能などを利用して秘密鍵を保存しておき、サーバー側の専用のエンドポイントに公開鍵を送って、クッキーの鮮度を維持するような仕組みっぽい。詳細なフローはGitHubにまとまっている。
これがうまくいけば、XSS攻撃などでセッションIDなどのクッキーを奪われても大丈夫?ただ、non-goalのところでユーザーのマシンで実行されるプログラムは結局ブラウザセッションにアクセスできちゃうので、的なことが書いてあるので、そうでもないのかしら?
タイムラインによると、2024年5月リリース予定のChrome 125でフラグがサポートされ、同11月リリース予定のChrome 131で開発者ツールサポートが実装予定とのこと。
[その他のニュース]
▼いまだにHTTPのサイト
こちらのツイートから。
It's bizarre to me that the Australian Bureau of Meteorology /still/ doesn't support HTTPS, despite it being just a checkbox away in their @Cloudflare configuration. pic.twitter.com/q7GtlElnts
— 🎻 Eric Lawrence (@ericlaw) 2024年4月2日
個人サイトとかだとまだHTTPのサイトをたまに見かける。設定が面倒くさいのかしら。
しかし、官庁のサイトがHTTPSでないというのは、何か理由があるのか、ただの怠慢か...?
こんなツイートも。
さくらのクラウドのオブジェクトストレージ、HTTPを廃止してHTTPSのみにするってよ。ご利用中の皆様。 / “オブジェクトストレージ 通信プロトコルに関する仕様変更のお知らせ” https://t.co/Wwq9SE0COt
— matsuu (@matsuu) 2024年4月7日
リンク先はこちら。
これはまあ互換性維持のために必要だったのかな、とは思う。
▼rustls + kyber/x25519
こちらのツイートから。
Rustls added experimental support for post-quantum key exchange (using a Kyber/X25519 hybrid scheme)https://t.co/o1RBWzPXOx
— Cryptoki (@Cryptoki) 2024年4月1日
リンク先はこちら。
Rustlsライブラリが実験的にKyberとX25519のハイブリッド鍵交換をサポートしたとのこと。ChromeやFirefoxなどのブラウザだけでなく、SignalやiMessageなどのメッセージアプリもKyber+X25519に対応してきてるし、どんどんハイブリッドな世の中になっていくなあ。
▼共有辞書圧縮とMITMプロキシ/ファイアウォール
こちらのツイートから。
『Content-Encoding and MITM devices』
— ゆき (@flano_yuki) 2024年4月4日
Chromeのcompression dictionariesでh1, h2使ってるとMITM機器にブロックされる起きるケースがあると。未知のtrust rootのケースに絞れてるのわかりやすいなhttps://t.co/wQTuaxhQbz
リンク先はこちら。
TLSではなくHTTPの話ですが...Chromeで実験中の共有辞書圧縮機能が、MITMプロキシやファイアウォールなど、未知のヘッダを利用しているためブロックされるケースがあるとか。セキュリティ上必要なのは分かるけど、こういうのがいると新しい機能が浸透しづらいので難しい...。
▼量子コンピュータ実用化予測
こちらのツイートから。
実用的な量子コンピューティングは、クラウドベースの形ではあるものの3-5年で実現するだろうと、米国国家安全保障局(NSA)のテクニカルディレクターが予測。 https://t.co/292Yg2yv2K
— kokumoto (DM) (@__kokmt) 2024年4月5日
リンク先はこちら。
各社がXXX量子ビット達成!みたいなニュース出してるけど実用化したと言う話は聞かないな、と思っていたらこんなニュースが。そういう見込みなのね。
[おわりに]
TLS季報vol.2、鋭意執筆中です。※画面は開発中のものです、実際の仕様とは異なる場合があります。
vol.1もよろしくお願いします。