HTTP/Tokyo #1に行ってきた

行ってきました。
中身の濃い勉強会で非常に勉強になった。

jxckさんの発表は圧巻でした。

Response Status codes 3xx @haormauyraa

資料: https://slides.araya.dev/http-tokyo-1/#slide=1 demo: https://playground.araya.dev/http-redirections/

• 3xx系のステータスコードの話
  • 300〜308まで
• RFC7231, 7232, 7538
• 301, 302はHTTP/1.0
• 300 Multiple Choices
  • 対象のリソースが複数の表現をもつ
    • サーバーはリダイレクト先として複数の選択肢を提示し、クライアント側はその中で優先するものを1つ選ぶ
  • サーバーが優先するべき選択を持っていたら、サーバーはその選択肢の URI 参照をLocaionヘッダーに含めるべき(SHOULD)。UA はその値を自動リダイレクトに利用してもよい(MAY)
• 301 Moved Permanently
  • 対象のリソースに新しい恒久的なURIがあてられていて、このリソースへの今後の参照は同封されたURIのいずれかを利用するべきことを指示する
• 302 Found
  • 302 Foundは301 Moved Permanentlyと異なりリダイレクト先となるURIは一時的という扱い。なので301はキャッシュ可能だが302はキャッシュすべきでない
• 303 See Other
• 304 Not Modified
  • "リクエストされたリソースを再送する必要がないことを示します。これはキャッシュされたリソースへの暗黙のリダイレクトです。" (MDN より)
  • リクエスト側が If-Modified-Since などを付けた条件つきのリクエストを送ったときに、「仮に条件がfalseでなければ200で応答することになる」ことを示す
  • 実際のリソースは返さない
  • 条件をつけたクライアント側が必要なリソースを(キャッシュなどで)持っている、ということをリクエストで示しているので、サーバーからはリソースそのものを返す必要がない
• 305は非推奨、306はunused

「425 Too Early」@flano_yuki

資料: https://www.slideshare.net/yuki-f/status-425-httptokyo

• MDN https://developer.mozilla.org/ja/docs/Web/HTTP/Status/425
• RFC 8470 Using Early Data in HTTP
• Early Dataの説明をするためTLS1.3の説明

• TLSハンドシェイクにはClientHello→ServerHelloを経てからHttpRequestを送るフルハンドシェイクと、1回目のClientHelloと一緒にHttpRequestを送る0-RTTハンドシェイクがあり、後者のClientHelloと一緒に送るHttpRequestがEarly Data
• Early Dataの危険性
  • Early Dataは暗号化されているが第三者が複製することはできる
  • 冪等性のないリクエスト（POSTでデータを作成するとか）だとまずい
  • サーバーはHTTPリクエストを見て冪等でないリクエストは拒否することもできる

• HTTPでEarly Dataを安全に扱えない問題
  • 例：Proxyを介していると
    • Proxyはリクエストが冪等かわからない
    • originは元のリクエストがEarly Dataで送られてきたものかわからない
• どうするか
  • Proxyは Early-Data: 1というヘッダーをつけてoriginに送る
  • originはリクエストが冪等でない場合は HTTPステータス425 Too Earlyをを返す
• Firefoxでの実験
  • サーバーが425を返したとき、クライアントはTLSハンドシェイクを待ってからリクエストを送っている

Cookie @Jxck

資料はなし。ホワイトボードを使って説明。

• RFC6265の話
• Cookie はなぜ生まれたか
  • リクエスト・レスポンスが冪等な世界で、リクエストを送ってきたのが誰なのかを判断したい
• Cookieとして送るのはIDであることがほとんどなので、ほとんどCredential
• Cookieの欠点
  • SOP(Same Origin Policy)に則っていない
  • わかりやすい攻撃
    • 悪意のあるサイトが正規のサイトと同じリクエストを送る <form> を設置すると、Cookieを送ってリクエストが成立してしまう
    • はまちちゃん事件
• 今どうやって対策しているか
  • csrf-tokenという一意の識別子を埋め込んでおき、リクエスト同時に送る
• サーバーから Set-Cookie するときに、idの後ろに SameSite: というプロパティを付けることができるようになった
• 3rd party cookie
  • サイトAにアクセス
  • サイトA内のiframeからADサーバーにアクセス -> cookie 456を返す
  • サイトBにアクセス
  • サイトB内のiframeから同じADサーバーにアクセス、このとき cookie 456を送る -> 同じ人だと特定できる
  • さらに、サイトAがECサイトだった場合、検索キーワードも一緒にADサーバーに送る -> サイトBを訪問したとき、サイトAの検索クエリの内容を元に適切な広告を送るといったことが可能
• SafariのITP
  • iframe内のドメインだけでなく、埋め込まれた親のドメインとセットでcookieを保存する。double keying
• ITPで困るのはADだけじゃなくAuthenticationサービス（SSO）
  • ITPはトラッキングをしてそうなサイトだけブロックする、と主張している
• Cookieの原理は変えられないが、トラッキング目的のCookieは防ぎたい。Chromeはどうするか
  • privacy-sandbox
  • Chromium Blog: Building a more private web: A path towards making third party cookies obsolete
• Cookie
  • Secure属性: httpsじゃないとCookieを送らない
  • HttpOnly: JSから触れない
  • Domainはむしろ使うべきでない。Domain: example.comとするとa.example.comのCookieをb.example.comからアクセスできる可能性が生じる
    • ref. CookieのDomain属性は 指定しない が一番安全 | 徳丸浩の日記
• Cookie上書き問題への対策
  • id=xyz という Cookieに対して __Secure-id=xyzというように __Secure- prefix をつけると、httpsでの通信時のみしか送らなくなる
  • __Host- は Secure; Path=/ じゃないとだめにするprefix
• クライアント側でtokenを生成する Sec-Http-State: token=XXX
• SameSite=Strict
  • Lax は別オリジンだったとしてもnavigation時にはCookieを付ける
  • Strict は別オリジンからは全てつけない
    • 例: connpassにログインした状態で、Google検索結果からconnpassへのリンクを開く
      • アドレスバーにconnpass.comと打ってアクセスしたときですらそうなる
  • Laxで何が問題か？
    • GET で何かするようなAPI(ログアウトリンクなど)
  • read cookieとwrite cookieを分ける
    • GitHubは実はやってるっぽい？
      • __Host-user_session_name_site
      • _gh_sess
      • user_sessionかも？