Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP-related WG Report (IETF88)

HAYASHI, Tatsuya ( @lef )
December 24, 2013
Technology
0
73

HTTP-related WG Report (IETF88)

「IETF報告会(88thバンクーバー)」 2013/12/20 ( http://www.isoc.jp/wiki.cgi?page=IETF88Update , https://www.nic.ad.jp/ja/topics/2013/20131205-02.html ) 発表資料 #isocjp

HAYASHI, Tatsuya ( @lef )

December 24, 2013
Tweet

More Decks by HAYASHI, Tatsuya ( @lef )

See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
lef
2
1.3k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
lef
1
870
APP + RAI Area Update: HTTP-related WG Report (IETF92)
lef
0
360
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
lef
0
150
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
lef
0
130
IETF/W3C/etc De-facto STD Overview (in My Case)
lef
0
60
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
lef
0
61
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
lef
0
310
Online Identity Workshop Vol. 1
lef
0
87

Other Decks in Technology

See All in Technology
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
120
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
120
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.6k
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
130
フルカイテン株式会社 採用資料
fullkaiten
0
40k
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
Terraform Stacks入門 #HashiTalks
msato
0
350
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
Shopifyアプリ開発における Shopifyの機能活用
sonatard
4
250

Featured

See All Featured
Practical Orchestrator
shlominoach
186
10k
Faster Mobile Websites
deanohume
305
30k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Music & Morning Musume
bryan
46
6.2k
Writing Fast Ruby
sferik
627
61k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
What's new in Ruby 2.0
geeforr
343
31k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Happy Clients
brianwarren
98
6.7k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k

Transcript

  1. https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

    HTTP-related WG Report (IETF88) 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. IETF88報告会 2013/12/20

  2. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Agenda  自己紹介  参加の背景・経緯  rtcweb WG  httpbis WG  httpauth WG  oauth WG  etc  tsvarea (QUIC)  uta WG IETF 88  Vancouver, Canada  November 3-8, 2013

  3. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    自己紹介  名前  林 達也 ( @lef )  所属  株式会社レピダム 代表取締役  https://lepidum.co.jp/  OpenIDファウンデーション ジャパン プロデューサー  Identity Conference ( #idcon )  Internet Society Japan Chapter プログラム委員(2013)  業務領域  標準化支援  認証・認可, アイデン ティティ、プライバ シー  ネットワーク技術  ソフトウェアセキュリ ティ, 脆弱性  プログラミング言語処 理系

  4. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    背景・経緯  「HTTP相互認証プロトコル」の標準化支援  httpauth WG(Sec Area)  https://tools.ietf.org/html/draft-oiwa-http-mutualauth  (独)産業技術総合研究所様の研究成果  https://www.rcis.aist.go.jp/special/MutualAuth/  IETFや標準化との関わり  IETF76広島(November 8-13 2009)から  主にHTTP/Webと認証を中心に  いくつかの企業様向けに、標準化支援や最新 動向のコンサルテーション等をしています

  5. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    rtcweb WG (WebRTC)  Real-time Communication Between Browsers  ブラウザで音声や映像の通信を実現  音声や映像でのコミュニケーションが目的のた め、P2P通信まで規格に入っている  プラグインなし!  ChromeやFirefoxで実装済み  W3CとIETFで策定中  3GPPも?

  6. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

     画像  Hello Firefox, this is Chrome calling!  http://blog.chromium.org/2013/02/hell o-firefox-this-is-chrome-calling.html  Hello Chrome, it’s Firefox calling!  https://hacks.mozilla.org/2013/02/h ello-chrome-its-firefox-calling/

  7. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Huge Spec(a part of...)  Network Stack  ICE: Interactive Connectivity Establishment (RFC 5245)  STUN: Session Traversal Utilities for NAT (RFC 5389)  TURN: Traversal Using Relays around NAT (RFC 5766)  SDP: Session Description Protocol (RFC 4566)  DTLS: Datagram Transport Layer Security (RFC 6347)  SCTP: Stream Control Transport Protocol (RFC 4960)  SRTP: Secure Real-Time Transport Protocol (RFC 3711)  VoiceEngine  Audio Codec  Jitter/packet loss concealment  Echo Cancellation  Noise reduction  Audio Capture (Hardware Access)  VideoEngine  Video Codec  Jitter/packet loss concealment  Synchronization  Image Enhancement  Video Capture (Hardware Access)

  8. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Impact of WebRTC  ブラウザそのものが通信の世界まで担う  ブラウザのプラットフォーム化の最たるも の  実装と仕様策定の乖離がW3C的?  Running Codeはかなり先にいっているのに、決 まってないことはまだ山積み!  MTIで延々と議論 → でもChrome/Firefoxは相互 接続してる

  9. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    rtcweb WG in IETF88  『コーデック戦争 (H.264 vs VP8) 終結か?』 (IETF報告会85より)  大嘘でした…  mandatory to implement (MTI)  Audio: G.711(STD.ITU-T RECMN G.711-ENGL 1989) and Opus(RFC 6716) → fixed!  Video:  H.264 vs VP8 Battle!!!  OpenH264公開 → Cisco "we pay MPEG-LA"  http://www.openh264.org/  → 決着せず…!  RFC3929: Alternative Decision Making Processes for Consensus-Blocked Decisions in the IETF で決着する案が出た  しかし…

  10. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    httpbis WG  Hypertext Transfer Protocol Bis  HTTPを扱っているWG  現在、HTTP/2.0を仕様策定中  以前はHTTP/1.1の曖昧さを廃し、適切に仕様定 義しなおすことを目指していた(1.1 はWGLC中! ->まだ…)  HTTP/2.0については頻繁にInterimを開催  次回はJanuary 22-24 2014 Interim - Zurich CH

  11. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/1.1(bis) in IETF88 "Plan is to reach the RSE in January." !!!

  12. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/2.0  Webの世界に起きる静かで大きな 変革  目的  環境を限定しないパフォーマンス改善  ネットワーク資源の効率的な使用  現代的なセキュリティ要件および慣習の反映  いくつかの提案の中からGoogleのSPDYというプ ロトコルをスタートポイントに策定を開始

  13. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/1.1と2.0の違い  HTTPヘッダーのバイナリ化  HTTPヘッダーの効率化(圧縮)  多重化(Multiplexing)  優先制御(Prioritizing)  通信の開始方法  TCPコネクションの利用方針  etc...

  14. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/2.0 in IETF88 (1)  Seattle Interim meeting summary  Upgrade Mechanism  Alt-Svc  Priority Levelling  Frame Type  HPACK

  15. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/2.0 in IETF88 (2)  Security Area Joint Meeting  ALPN review  HPACK review (focus on CRIME)  Encryption and HTTP/2  Opportunistic Encryption(日和見暗号)  http:// でのサーバ検証の有無  なにもしない / HTTP/2.0ではhttps必須に  Accommodating Proxies

  16. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/2.0 after IETF88  Moving forward on improving HTTP's security  http://lists.w3.org/Archive s/Public/ietf-http- wg/2013OctDec/0625.ht ml  HTTP2はhttps必須に?  Chrome/Firefoxは平文な しと明言  IEは平文ありと明言  https://twitter.com/mn ot/status/40056476355 9620608  PROXY問題/安全を盲 信されないか?等の 反対意見、等々

  17. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    httpauth WG  Hypertext Transport Protocol Authentication  現在の機能の不足や安全性等、課題の多いHTTPプロ トコルの認証機構を、新しく安全にすることを目指 す  TLSを用いる方法やHTMLのフォーム認証はスコープ外  新しい認証をExperimental RFCとして策定  現在ある複数の提案を統合したり選んだりするのでは なく相互にレビューする形  仕様と実装とどっちが先かの問題を避ける  BasicおよびDigestの国際化、Digestのアルゴリズム更 新もスコープ  こちらはStandard Track RFCを目指す

  18. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    httpauth WG in IETF88  Report on Virtual Interim  Basic: To merge basicauth-update and basicauth- enc  Digest: Need review for draft-ietf-httpauth-digest- 00  HTTP Origin-Bound Authentication (HOBA)  RESTful Authentication Pattern for the Hypertext Transport Protocol (RestAuth)  Commonalities

  19. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    oauth WG  Web Authorization Protocol  Webで使われる認可の為のフレームワーク  RFC6749 "The OAuth 2.0 Authorization Framework"  RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage"  現在は拡張仕様や周辺仕様との 連携、トークンのフォーマット、 周辺エンドポイント等の議論中  踏まえてRecharteringをする予定、 なのですが…

  20. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    oauth WG in IETF88  Dynamic Client Registration  継続して議論中  Proof-of-Possession  昔Holder of Key(HoK)と呼ばれていた提案  MAC Tokenとの連携  やはりBearerでないトークンへの需要は大きい  継続して議論中  Act-As and On-Behalf-Of Token  WS-Security, WS-Trustで実現していた機能をカバー したい?

  21. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Info: OAuth2.0, OIDC & UMA Interop (revised)  OAuth2.0, OIDC and UMA Interop event is co- sponsored by the MIT-KIT, the Internet Society (ISOC) and the Kantara Initiative.  https://kit.mit.edu/events/  https://elists.isoc.org/pipermail/oauth-interop/  https://elists.isoc.org/mailman/listinfo/oauth- interop

  22. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    QUIC:"Quick UDP Internet Connections"  GoogleがChrome(Chromium)に新しく導入したプロトコル  まだ概要やデザインドキュメント程度しか公開されていない  http://blog.chromium.org/2013/06/experimenting-with-quic.html  https://docs.google.com/a/chromium.org/document/d/1RNHkx_VvKWyWg6Lr8S Z-saqsQx7rFV-ev2jRFUoVD34  目的  TLSによく似た高セキュリティ  TCP Fast Open と TLS Snapstart を組み合わせたような(だいたい 0-RTTの)素 早い接続  パケットロスを低減するパケット速度調整  再送頻度を低減するパケットのエラー補正  TCP のHead-of-Lineブロッキング(先頭詰り)を回避するUDPトランスポート  モバイルクライアントのために再接続を削減する接続ID  取り替え可能(pluggable)な輻輳制御メカニズム

  23. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    QUICの中身  中身としてはUDP上でTCP+TLSに相当する機能を実現 するプロトコルといっていいと思われる  そのQUIC上ではSPDYを使うことが前提とされている  名前通り、TCPよりも早く通信をしたいというのが 目標なのは明白  このブログの著者欄には"RTT Reduction Ranger" (ラウ ンドトリップ時間を削減するレンジャー部隊)との 肩書がついているように、RTTの短縮はかなり大き な重要なのは間違いない  仮にSPDYを前例とすれば、この後、標準化の提案が ある可能性はそれなりに高いように思われる

  24. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Impact of QUIC  TLSによくにた高いセキュリティ?  → DTLSですらなく新規?PKIは?  SPDY必須が前提だが?  → HTTP/2.0が標準化され、QUICが標準化された ら?  UDPを使うことでブラウザ(Userland)の世界 に通信コンポーネントが移動?  →OSの機能を取り込んでいっている?  ブラウザのプラットフォーム化!?

  25. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    uta WG (After IETF88)  Using TLS in Applications  App Area New WG!  TLSを使用するための定義や仕様を更新して相互接続性 を向上  推奨されるTLSのバージョンや暗号スイート、暗号モー ド、拡張機能等のTLSクライアントとサーバのためのベ ストプラクティスを策定  SMTP, POP, IMAP, XMPP, そしてHTTP 1.1を代表的なアプ リケーション上でTLSを使用するための定義を最新版に 更新  クライアント/サーバ通信に加え、サーバ間のプロキシ との通信、ピアの適切な選択等も  TLS, DANEを始めとしたWGと連携

  26. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Conclusion  Web/HTTPを中心に、App/RAI関係は一気に暗号通信の話に飲み 込まれている感があります  CRIME Attack問題の辺りから、若干そういう空気はあったものの、 やはりPRISMの影響は非常に大きいです  S/MIMEやSMTPという単語をこれほど聞いたIETFは始めて  TLSについての話題も非常に多かったように思います  QUICのような時代背景にあわせた変革や、End to End暗号化の文 脈を契機に、既存の仕組みに対する「やり直し」のチャンス? (その是非はさておき)  Web/HTTP関連の話題は増える一方です  HTTP関連のWGを中心に軽くご紹介しましたが、他にも色々あって 正直カバーしきれていません  もっと参加者や専門家が増えて欲しい  皆様も是非!

  27. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Any Questions? / Please Feedback! https://lepidum.co.jp/ mailto:[email protected] / twitter: @lef