[B! web] MonMonMonのブックマーク

Reverse HTTP Transport が描く新しい Web サービスデプロイ構成 | blog.jxck.io

Intro IETF の httpbis で、 Reverse HTTP Transport という仕様が提案されている。 Reverse HTTP Transport https://www.ietf.org/archive/id/draft-bt-httpbis-reverse-http-01.html この仕様は、 Origin サーバの前に何かしら Intermediaries (Loadbalancer, Reverse Proxy, CDN etc)があるのが一般的な現代の Web サービス構成において、非常に革新的なアイデアを取り入れたプロトコルと言える。まだ v01 という初期段階ではあるが、発想が非常に面白かったので、読書メモを残す。登場人物ベースとして HTTP の話にはなるが、登場人物が多いため Client/Server という「相対的な役割」で話をすると、紛

MonMonMon 2024/05/10

http
web

リンク

Webサーバーアーキテクチャ進化論2023

はじめに最近プログラマーとしてのキャリアに一区切りつけようと思っており、これまでのプログラミングの勉強の集大成となるブログを書きたくなったので書く。初めてプログラミングをして、フロントエンド開発をして、サーバーから値が返ってきたときは﹁どういう仕組みで値が返ってきたんだ？﹂と疑問に思っていた。ずっと理解したくて理解できていなかった。だからずっと勉強していた。そして最近になってようやく自分の言葉で説明できるようになった気がしたのでブログを書きたい。 2015 年版が自分の原点であり、この記事を書くモチベーションになったこのような記事は実は過去に存在している。 FYI: https://blog.yuuk.io/entry/2015-webserver-architecture その記事はサーバーがどういう仕組みで動いていて、どのように進化し、2015 年に至るかを解説してくれた記事だ。自

MonMonMon 2023/04/01

リンク

[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法

サマリハッキングAPI―Web APIを攻撃から守るためのテスト技法（2023年3月27日発売）を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃（テスト）を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。重要事項説明本書の監修者の一人（洲崎俊氏）と評者は知人関係にある評者が読んだ書

MonMonMon 2023/03/28

リンク

RFC 8725 JSON Web Token Best Current Practices をざっくり解説する - Qiita

ritouです。今回は RFC 8725 JSON Web Token Best Current Practices を紹介します。みんな大好き JWT (JSON Web Token) の BCP ときたらチェックせずにはいられないでしょう。概要 JWTは署名/暗号化が可能な一連のクレームを含む、URLセーフなJSONベースのセキュリティトークンです JWTは、デジタルアイデンティティの分野および他のアプリケーション分野の両方の多数のプロトコルおよびアプリケーションにて、シンプルなセキュリティトークンフォーマットとして広く使用/展開されていますこのBCPの目的は、JWTの確実な導入と展開につながる実行可能なガイダンスを提供することですということで、何かのフレームワークでもプロトコルでもなければJWTを使ったユースケース考えたよって話でもなく、JWTを導入する上で基本的な部

MonMonMon 2022/11/22

JWT
web

リンク

XMLHttpRequest とはなんだったのか | blog.jxck.io

Intro FetchAPI の実装が広まり、IEもリタイアを迎えたことで、今後忘れ去られていくことになるだろう XMLHttpRequest について。どのように始まり、どのように広まり、どのように使われなくなっていくのか。その間に残した多大な功績を残す。 XMLHttpRequest の始まりこの名前は非常に長いため、通常 XHR と略される。この API は、現在の Web API のように W3C/WHATWG による標準化を経て策定された API ではない。 Microsoft によるいわゆる独自実装の API として始まり、後追いで標準化される。したがって、 Web API の中でもかなり異質な命名である XHR が、 XmlHttpRequest でも XMLHTTPRequest でもなく XMLHttpRequest である理由も、 Microsoft の命

MonMonMon 2022/10/02

未来に残したい歴史ですね

web

リンク

Re: NginxとApacheって何が違うの？？ - inductor's blog

これは何以下記事のアンサーブログです。 qiita.com 以下のことはコメントに書いたんですが、書ききれなかった部分もあったり整理したほうがいいなと思い記事に起こしています。現代のアプリケーションではC10K問題よりも先にDBやアプリケーションのボトルネックが先に来るため、C10K問題に遭遇するよりも先にやることがあるミドルウェアとしての成り立ちから設定ファイルの書き方に至るまで、それぞれのソフトウェアで思想が根本的に異なるので、単なるパフォーマンス比較をしてもあまり意味がない NginxとApacheの違いをC10K問題を中心に語るのは時代が違うこの記事に限らず、多くの「Nginx vs Apache」系記事では「ApacheはC10K問題を抱えている」という論理をベースにそれぞれの違いを表現しています。が、これは2022年においては(実際にはもっと前からですが)既に事実では

MonMonMon 2022/06/01

nginx
web

リンク

Public Suffix List の用途と今起こっている問題について | blog.jxck.io

Intro Public Suffix List (PSL) は、現在の Web プラットフォームの一端を支えている非常に重要な要素だ。実はこれが、少数のボランティアにより GitHub でメンテナンスされた、単なるテキストリストであることは、あまり知られていないかもしれない。最近、このリストへの追加リクエストがあとを絶たず、問題になっている。そもそも PSL とは何であり、今どのような問題が起こっているのかについて解説する。Public Suffix List とは何か PSL を解説するには、まず関連する用語について整理する。 Top Level Domain (TLD) 例えば、このブログのドメインは blog.jxck.io であり、これは筆者が取得したドメイン jxck.io のサブドメインだ。 jxck.io は、 .io という TLD のサブドメインを販売しているレ

MonMonMon 2022/04/14

web
security

リンク

WebアプリケーションでJWTをセッションに使う際の保存先は（自分なりに説明できれば）どちらでもよいと思います - 日々量産

以下のツイートを読んで気持ちが昂ったので。みんな、もうSNSでいがみ合うのはやめよう。平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き？— 徳丸浩 (@ockeghem) 2022年2月11日というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。ただ、考えるたびに変化しているので、変わるのかもしれない。要約タイトル。あとは優秀な方々が既に色々考えておられるのでそちらを読むとよいでしょう。 SPAセキュリティ入門～PHP Conference Japan 2021 JWT カテゴリーの記事一覧 - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ？ - co3k.org JWT形式を採用したChatWorkのアクセストークンについて -

MonMonMon 2022/02/14

web
security

リンク

Hono[炎]っていうイケてる名前のフレームワークを作っている

Cloudflare Workersは﹁CDNのエッジで動く﹂という特徴だけでなく﹁サーバーレス﹂の環境としても非常に優秀です。プロジェクトの作成からデプロイまで﹁4ステップ﹂で出来ます。自動的に {project-name}.{user-name}.workers.dev といったURLを発行してくれて、すぐさま公開されます。この手軽さとスピード感はヤバい。スクリプトのサイズが1MB以内、使えるAPIが極端に限られているなど制約がありますが、それはそれで単一機能のシンプルなアプリケーションを作る気にさせてくれます。さて、このCloudflare WokersでWebアプリを作っていたのですが、だんだんとCloudflare Workersに特化した﹁Webアプリを作るためのフレームワーク﹂を作りたくなってきました。手段の目的化です。ということで作り始めました。﹁Hono[炎]﹂という

MonMonMon 2022/01/28

リンク

ブラウザで動くリアルタイム画像/音声処理アプリをStreamlitでサクッと作る

Overview 画像/音声処理をリアルタイムで行う、Webブラウザから利用できるアプリをStreamlitで作る方法を解説します。 StreamlitのおかげでPythonだけでwebアプリが作れます。さらに、一番簡単な例なら10行程度のPythonコードで、webカメラを入力にしてブラウザから利用できるリアルタイム画像処理アプリケーションになります。 Webベースなのでクラウドにデプロイでき、ユーザに簡単に共有して使ってもらえ、UIもイマドキで綺麗です。人物・物体検知、スタイル変換、画像フィルタ、文字起こし、ビデオチャット、その他様々な画像・音声処理の実装アイディアをデモ・プロトタイピングするのになかなかハマる技術スタックではないでしょうか。 Webブラウザから利用できる物体検知デモの例。実行中に閾値をスライダーで変えられる。オンラインデモ🎈 同様にスタイル変換デモの例。実行中にモ

MonMonMon 2021/12/10

リンク

Spectre の脅威とウェブサイトが設定すべきヘッダーについて

長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。すべてのリソースはCross-Origin-Resource-Policy ヘッダーを使ってcross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントにはCross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合のcross-origin なページとのコミュニ

MonMonMon 2021/11/02

security
web

リンク

SPAセキュリティ入門～PHP Conference Japan 2021

こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。動画はこちら https://www.youtube.com/watch?v=pc57hw6haXkRead less

MonMonMon 2021/10/03

security
web

リンク

Rustの新しいWEBフレームワークaxumを触ってみた

axum version0.2.0 is released!! 本日2021-08-24、axum version0.2.0がリリースされました。この記事のコードを参考にする場合はバージョンによる違いに注意してください。 2021-08-14追記 axum 0.1.2, 0.1.3のリリースによりこの記事の一部の記述は古いものとなりました。この記事に関わる変更は以下です。多くのextractorが Deref を実装した axum が hyper::Server をre-exportするようになった extract::UrlParams と extract::UrlParamsMap が非推奨となり、 extract::Path が推奨されるようになった axum 0.1.3対応版のコードは https://github.com/techno-tanoC/axum_sample/tr

MonMonMon 2021/08/02

リンク

WebUSBとは何か、何を引き起こしたか、今どうなっているか

これは WebUSBでレイヤーが低まるWeb開発 ( https://speakerdeck.com/fadis/webusbdereiyagadi-maruwebkai-fa-shibuya-dot-xssban ) にその後起こった問題についての話を書き足したものです

MonMonMon 2021/02/08

リンク

ウェブの進化とウェブブラウザ開発の最前線

学部 3, 4 年生向けの特別講義で﹃ウェブの進化とウェブブラウザ開発の最前線﹄というタイトルで話をしてきました。ウェブの進化の歴史を知ることで現在のトレンドについて理解し、またウェブブラウザというグローバルで大規模なソフトウェアの開発の一端を垣間見ることで、ウェブやウェブブラウザの開発に少しでも興味を持ってくれたら良いなぁという気持ちで話をしてきました。なお歴史観については私の事実誤認も含まれると思うので、間違いを見つけたら教えて下さい :-) 追記 (随時) たくさんの反応を頂きありがとうございます！次回同じような資料を作るときの参考にできるよう、ここにメモしていきます。ウェブは無限に話せる話題があって楽しいですね！ウェブ以前のハイパーテキストの歴史も取り入れるべきでは？ありがとうございます！おっしゃるとおりで、ウェブの進化史と言いつつウェブが公開されてからの話しかしていないの

MonMonMon 2020/12/06

web

リンク

Good Bye Web APIs

When building a single-page application or a mobile application, we usually need to implement a web API (REST, GraphQL, etc.) to connect the frontend and the backend. Technically, it's not very difficult, but it has some unfortunate consequences. Imagine two planets. The planet "frontend" speaks JavaScript and the planet "backend" also speaks JavaScript or any other advanced language. Now let's sa

MonMonMon 2020/11/27

web

リンク

Web 技術の調査方法 | blog.jxck.io

Intro ﹁新しい API などを、どうやって調べているのか﹂﹁仕様などを調べる際に、どこから手をつければ良いのか﹂などといった質問をもらうことがある。確かにどこかに明文化されていると言うよりは、普段からやっていて、ある程度慣れてきているだけなものであり、自分としても明文化していなかったため、これを機に解説してみる。やり方は一つではない上に日々変わっていくだろうが、頻繁にこの記事を更新するつもりはない。また、筆者は実務で必要になるというよりは、ほとんどを趣味でやっているため、このやり方が合わない場面は多々有るだろう。スコープとしては、ライブラリ、ツール、フレームワークなどではなく、 Web プラットフォーム関連の標準やブラウザの実装状況などに限定している。 Scope 従来からあり、広く認知された API については、情報も多く調査の敷居はそこまで高くないため、今回は議論が始まって

MonMonMon 2020/11/19

web
chrome

リンク

ブラウザからTCP, UDPソケットを操作するDirect Sockets API - ASnoKaze blog

2020/01/14: 実際に動くのを確認しました asnokaze.hatena blog.com (2020/09/17 注釈: Raw SocketsからDirect Socketsに名称が変更されました) ブラウザでTCP, DUPソケットを操作可能にする﹁Direct Sockets API﹂という仕様がW3CのWICGで議論されている。また、blink-devでも﹁Intent to Prototype: Raw Sockets API﹂とプロトタイプの議論が行われている。多くの方がセキュリティ上の懸念を抱くと思うが、ドキュメントでも慎重に検討すると書かれている。GithubでIssueを立てることも可能なので、思うことがある方は、まだまだ議論は始まったばかりでもあるので是非フィードバックされると良いと思う。(割と普通に聞いてもらえます) なお、Raw Socketsという名

MonMonMon 2020/08/31

web

リンク

面白Web API 100連発 - pastak-pub

エンジニアお茶会 2020/08/19 pastak.icon @pastak この発表のゴール現代のウェブブラウザの目指している方向性について紹介するモダンブラウザで使える最新の面白便利APIを紹介するちゃんと仕様に入りそうなもの(Googleの力技で…も含む) （前半の各ベンダの話はpastak.icon個人の見解を含みます）次ではないフロントエンドなんでも相談室前提知識のコーナー "WebAPI"とは何を指すのか、標準化について ECMAScript Ecma InternationalにてECMA-262という規格番号ほぼLiving Standardという雰囲気もあるけど、年に1回タグが付く ES2020: ECMAScript® 2020 Language Specification 最新の様子: https://tc39.es/ecma262/ Array、Nu