Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ISOC Japan IETF86 report

HAYASHI, Tatsuya ( @lef )
April 18, 2013
Technology
0
50

ISOC Japan IETF86 report

IETF86 HTTP-related WG Report

HAYASHI, Tatsuya ( @lef )

April 18, 2013
Tweet

More Decks by HAYASHI, Tatsuya ( @lef )

See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
lef
2
1.3k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
lef
1
870
APP + RAI Area Update: HTTP-related WG Report (IETF92)
lef
0
360
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
lef
0
150
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
lef
0
130
IETF/W3C/etc De-facto STD Overview (in My Case)
lef
0
60
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
lef
0
61
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
lef
0
310
Online Identity Workshop Vol. 1
lef
0
87

Other Decks in Technology

See All in Technology
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
3
200
スクラム成熟度セルフチェックツールを作って得た学びとその活用法
coincheck_recruit
1
140
Lexical Analysis
shigashiyama
1
150
Taming you application's environments
salaboy
0
190
DMARC 対応の話 - MIXI CTO オフィスアワー #04
bbqallstars
1
160
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
990
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
170
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.6k
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
EventHub Startup CTO of the year 2024 ピッチ資料
eventhub
0
110
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k

Featured

See All Featured
4 Signs Your Business is Dying
shpigford
180
21k
How STYLIGHT went responsive
nonsquared
95
5.2k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.2k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Statistics for Hackers
jakevdp
796
220k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
GitHub's CSS Performance
jonrohan
1030
460k
Done Done
chrislema
181
16k

Transcript

  1. https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

    IETF86 HTTP-related WG Report 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. 2013/4/18

  2. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Agenda  自己紹介  httpbis  httpauth  oauth  scim  その他  rtcweb, websec, jose, j cardcal  json BoF, aggsrv BoF  OpenID Meeting IETF 86  Orlando, FL, USA  March 10 - 15, 2013

  3. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    自己紹介  名前  林 達也  所属  株式会社レピダム 代表取締役  https://lepidum.co.jp/  OpenIDファウンデーションジャパン Producer  業務領域  標準化支援  認証・認可, アイデンティティ、プライバ シー  セキュリティ, 脆弱性  ソフトウェア, プログラミング言語, コン パイラ  IETFや標準化との関わり  IETF76広島から  主にHTTP/Webと認証を中心に from The IETF Journal Volume 8, Issue 3 March 2013

  4. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Applications Area概要  主にアプリケーション層に属する事象を扱う  現在15のアクティブなWGが存在  appsawg Applications Area Working Group  core Constrained RESTful Environments  httpbis Hypertext Transfer Protocol Bis  paws Protocol to Access WS database  precis Preparation and Comparison of Internationalized Strings  scim System for Cross-domain Identity Management  websec Web Security  weirds Web Extensible Internet Registration Data Service  (hybi BiDirectional or Server-Initiated HTTP)  (jcardcal JSON data formats for vCard and iCalendar)  (repute Reputation Services)  (spfbis SPF Update)  (urnbis Uniform Resource Names, Revised) ※括弧書きは今回Meetingが開催されていないWG

  5. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Hypertext Transfer Protocol Bis WG  いまAPPで一番HotなWG!  HTTP/2.0を仕様策定中  以前はHTTP/1.1の曖昧さを廃し、適切に仕様定義しなおす ことを目指していた(1.1 はWGLC中!)  HTTP/2.0の目的  環境を限定しないパフォーマンス改善  ネットワーク資源の効率的な使用  現代的なセキュリティ要件および慣習の反映  仕様概要  スタートポイント はGoogleが仕様策定したSPDYプロトコル  しかし、既に仕様は分岐し始めている

  6. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    httpbis in IETF86  フレームの詳細な構造等の議論  ストリーム識別子を毎回含めるか  エラーに関する議論  その他  CRIME Attackを踏まえたヘッダ圧縮の議論  デルタエンコーディングを用いる  基本的に合意形成を主眼にIssue Closeに終始  1月末のTokyoでのInterim Meetingのfeedbackも  その結果最初の実装向けdraftが近々出ることに

  7. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    httpbis after IETF86  ... in tls WG(IETF86)  HTTPS通信時のためのプロトコルネゴシエーション  従来のNPNではなくALPNを用いることに  頻繁なInterim Meetings  6月中旬はベイエリアで  8月上旬はドイツで(!?)

  8. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    HTTP/2.0詳細(宣伝)  HTTP/2.0の最新情報や詳細については、弊社 清水が発表などをさせて頂いております  Internet Watchコラム「HTTP 2.0の最新動向」  http://internet.watch.impress.co.jp/docs/column/http 20/latest.html

  9. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Hypertext Transport Protocol Authentication WG  いまSecでHotなWGのひとつ!  IETF BlogにもIETF Journal March 2013にも載ってい ます  http://www.ietf.org/blog/2013/03/welcome-to-ietf-86/  http://www.internetsociety.org/articles/ietf-ornithology- recent-sightings-4  現在の機能の不足や安全性等、課題の多い HTTPプロトコルの認証機構を、新しく安全にする ことを目指す  TLSを用いる方法やHTMLのフォーム認証はス コープ外

  10. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    httpauth WG in IETF86  BoF当日朝(!)に “WG Action: … (httpauth)”  Experimental RFCを策定することが目標となる 異例のWGとなった  現在ある複数の提案を統合したり選んだりするの ではなく相互にレビューするかたちとなる  仕様と実装とどっちが先かの問題を避けるため  BasicおよびDigestの国際化、Digestのアルゴ リズム更新もスコープに  こちらはStandard Track RFCを目指す

  11. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    WGへの道  IETF79: APP Areaでhttp-auth MLオープン(reboot)  IETF80: Bar BoF開催  IETF81: httpauth BoFが公式にAgendaに掲載されたが突 然のCANCELED!!!  IETF82: (ネゴシエーション...)  IETF83: httpbis WGで新たなHTTP認証について提案が募 集される  IETF84: httpbis WGはHTTP/2.0に注力(APP)  認証は議論は継続し、別途Experimental RFCをゴールとしたWG を立ち上げる方針に(SEC)  IETF85: httpauth BoF#2が開催されWG化の検討を議論  しかし結論は出ず…

  12. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Web Authorization Protocol WG  RESTで用いる認可のフレームワークOAuth  OAuth 2.0のコア部分はすでにRFC発行済(6749, 6750)  現在はトークンのフォーマットや周辺エンドポイ ント等の議論中

  13. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    oauth in IETF 86  Dynamic Client Registration  OpenID Connect の物と統合される方向に  アサーション  SAMLのものとJWTのもの  MAC Token等  やはりBearerでないトークンへの需要は大きい  一度立ち消えたが議論継続中

  14. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    System for Cross-Domain Identity Management WG  アイデンティティに関するプロビジョニング関連の標準化 仕様のWG  スキーマ定義  ユーザの作成、修正、削除の操作セット  スキーマディスカバリ  検索と読み取り  バルク操作  LDAPオブジェクトクラス(RFC2798)のinetOrgPersonとス キーマとのマッピング  HTTP上のRESTfulなAPI  CRUDでの操作  昔は"Simple Cloud Identity Management"だった

  15. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    scim in IETF86  Search Enhancement  Clarify the Spec on Multi-Tenancy  Multi-Tenancyに関しては一応仕様外に(non-normative)  SCIM Profile For Enhancing Just-In-Time Provisioningの提案  SCIM SchemaのIssue整理  最終段階が近いため大きな話題はあまりない  参加者も非常に厳選されていた  前回のtopicだったvCard Schemaとのマッピングは変更 部分が大きいため採用しない方向に

  16. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    etc WG  rtcweb  コーデック戦争 (H.264 vs VP8) 終結か?  名前混乱問題  RTCWEB? WebRTC?  "Name of the system" -> Confirmed that will be "WebRTC" from now on.  websec  Session Continuation  Cookie認証を滅ぼす話がここでも提起される  jose  JWx仕様の策定まであと一歩といったところ  jcardcal (今回未開催)  vCard, iCalendar をJSONフォーマットにする

  17. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    etc BoF  json BoF  ひとまずECMAScriptとの非互換解消等の細かい 修正を第一目標とすることとなった  追加機能や周辺技術はそれが終わってから  aggsrv (Aggregated Service Discovery) BoF  メールなども含めた様々なサービスの設定情報を aggregateして提供するメタデータの仕組み  .well-known / Defining Well-Known Uniform Resource Identifiers(rfc5785)

  18. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    OpenID Meeting at IETF86  最近IETF開催初日初日の日曜日に同会場で併催  Implementer's Drafts  OAuth Security Discussion  Interoperability Discussion  Compliance Testing  Using OpenID Connect for unmodified non-Web clients / RS- AS Communication  PEOFIAMP Project(NRI/NII/東大/京大)  draft-sakimura-oidc-structured-token  draft-sakimura-oidc-extension-nonweb  OpenID Foundationはもちろん、ISOC、IETFを始めとした組織か ら、アイデンティティ、認証・認可の専門家が集まって関連する仕 様について議論しているので、興味がある方は日曜日の昼間か ら参加しましょう :-)

  19. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    まとめ  Web関連の話はどんどん増えています  今回はHTTP関連のWGを中心にしましたが、Application Areaは他にも色々あって正直カバーしきれていません  もっと参加者や専門家が増えて欲しい  皆様も是非!  JSONの潮流  以前から用いられていたが、ついにjson WGができたり既 存フォーマットをJSONにしたりと流れが加速している  Webと認証・認可の領域は  多くの人にユーザと関わる認証・認可、PrivacyやIdentityへ の理解をもっと深め、広げていきたい

  20. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Any Questions? / Please Feedback!