「HSTS」関連の最新 ニュース・レビュー・解説 記事 まとめ

Tech TIPS：
【Azure】WebサーバをいじらずにHTTPレスポンスヘッダを追加／変更する（Front Door編）
WebサイトやWeb APIが返すHTTPレスポンスヘッダを追加／変更しようとしても、設定が難しかったり、そもそも変更できなかったりすることがある。AzureのCDN／リバースプロキシである「Front Door」を利用すると、比較的簡単にレスポンスヘッダを改変できる。その方法と注意点は？（2023/10/18）

Microsoft Azure最新機能フォローアップ（170）：
バグ修正が主なマイナーアップデート「Windows Admin Center 2110.2」がリリース、前バージョンのサポート切れに要注意
Microsoftは2022年4月27日（米国時間）、「Windows Admin Center（WAC）」の最新GAバージョン「WAC 2110.2」をリリースしました。今回のGAリリースはバグ修正が中心であり、新機能はごくわずかですが、WAC 2110のサポートは30日後に終了するため、利用中の場合は早めに更新してください。（2022/5/12）

iCloud for Windowsに深刻度「重要」の脆弱性　迅速なアップデートを
「Windows 10」や「Windows 11」で「iCloud」を使用している場合には注意が必要だ。Foundationで任意のコードが実行される危険性が見つかっており、CISAがアップデートの適用を推奨している。（2021/11/13）

Supercookie型のアドテクもブロック　Firefox 85が対策を実装
ユーザートラッキングはCookieだけの問題ではない。Cookie以外の機能を使ってユーザーをトラッキングする技術はSupercookie（スーパークッキー）と呼ばれるが、Firefoxはプライバシー保護を目的にSupercookieへの対策を強化する実装を打ち出した。（2021/1/27）

セキュリティクラスタ まとめのまとめ 2019年6月版：
オリンピックに便乗した攻撃が始まった
2019年6月のセキュリティクラスタは、「オリンピックのチケット抽選と攻撃」「サークルKサンクスのドメインを対象とした高額オークション」「政府の『e-Gov』Webサイトのhttps対応」の他、「入力をサーバに送信するIME」が話題となりました。（2019/7/16）

開発者向けドメイン「.dev」、Googleが有料で先行登録開始
米Googleは2月19日（米国太平洋標準時）から、開発者向けのドメイン「.dev」の先行登録プログラムを開始する。（2019/2/18）

Google運営のTLD、HSTSに追加　まずは「.foo」「.dev」が対象
HTTPを自動的にHTTPSに変換するHSTSプレロードリストに、Googleが運営するトップレベルドメインの「.foo」「.dev」などを追加する。（2017/9/28）

とにかく速いWordPress（16）：
HTTPで稼働しているWordPressサイトを常時SSL、HTTP/2化する方法（実践編）
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、KUSANAGIで稼働しているWordPressサイトを「常時SSL、HTTP/2化する手順」を実践していきます。（2017/2/13）

とにかく速いWordPress（14）：
「KUSANAGI」応用テクニック　常時SSLとHTTP/2の導入方法（商用SSLサーバ証明書編）
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、商用のSSLサーバ証明書を用いた常時SSL、HTTP/2の導入方法を解説します。（2016/12/6）

とにかく速いWordPress（13）：
「KUSANAGI」応用テクニック　常時SSLとHTTP/2の導入方法（Let's Encrypt編）
エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、WordPressサイトを常時SSLとHTTP/2に対応させ、無償SSLサーバ証明書であるLet's Encryptを導入する方法を解説します。（2016/10/5）

Synology Note Stationで「すべてを記憶する」：
Evernoteがプラン改訂!?　よろしい、ならばSynologyだ!!
NASを使って「企業に振り回されない環境」を作ろう。（2016/8/23）

YouTube、トラフィックの97％をHTTPSで暗号化
WebサイトのHTTPS接続を推進するGoogleは、YouTubeのトラフィックの97％をHTTPSによって暗号化したと発表した。HTTPSをサポートしない古い端末からの接続が完全HTTPS化を阻んでいるという。（2016/8/2）

米Google、検索サイトに「HSTS」実装　危険URLを自動変換
HSTSではインセキュアなHTTP URLを自動的にセキュアなHTTPS URLに変換することによって、ユーザーによるHTTP URLの参照を防止する。（2016/8/1）

cookieの仕組みを突く新手の攻撃も、セキュリティ機関が注意喚起
ほとんどのWebブラウザでは、HTTPリクエスト経由で設定されたcookieによってリモートの攻撃者にHTTPSを迂回され、セッション情報を取得される恐れがある。（2015/9/28）

「Trident」に変わる新エンジン「EdgeHTML」の実力をチェック
Microsoft Edgeが“最強ブラウザ”になれない「ただ1つの欠点」
「Internet Explorer」をしのぐパフォーマンスやセキュリティ機能を実現する「Microsoft Edge」。ただし、ユーザーが待ち望む「あの機能」はまだ実装されていない。（2015/9/17）

豊富なセキュリティ機能をレビュー
“危険なIE”にさようなら　新ブラウザ「Microsoft Edge」は“究極の安全”実現か
Windowsの新たな標準ブラウザ「Microsoft Edge」は、「Internet Explorer」での経験を教訓に、豊富なセキュリティ機能が実装されている。詳しく説明しよう。（2015/8/20）

萩原栄幸の情報セキュリティ相談室：
「HTTP」前提が崩れる――早く「常時SSL」にすべき理由
WebサイトをトップからHTTPSにする「常時SSL」が本格化の気配を見せてきた。「HTTPで十分」という意識ではやっていけなくなるだろう。その理由とは？（2015/5/22）

サービス暗号化の優等生はGoogleとDropbox、Amazonは要注意──EFF調べ
米国家安全保障局（NSA）による大手IT企業のユーザーデータへの無断アクセスが報じられる中、電子フロンティア財団がGoogleやTwitterをはじめとする18社のサービスの暗号化状況を示すリストを公開した。（2013/11/21）

UXClip（35）：
HTML5時代のWeb開発者が知らないとガチヤバな3つの未来予測と6つの脆弱性対策
CEDEC 2013のHTML5に関する2つの講演を、主にセキュリティの観点からレポート。サイボウズ・ラボ竹迫氏とネットエージェント長谷川氏が語るWebは、こんなにヤバい（2013/9/5）

セキュアな接続を目指す「HSTS」の策定作業も進む：
SPDYをベースにした次世代HTTPの標準化、正式スタート
（2012/10/3）

Webサイトに“常時SSL”の実装を――団体提唱の米国で機運高まる？
インターネットのセッションに割り込まれてユーザー情報が盗聴される危険性が高まっていることから、米国ではHTTPS通信を前提にすべきという声が上がっているという。（2012/3/29）

Firefox 4β5公開　音声APIなど盛り込む
β5は音声データを視覚的に表すといったことができるAPIや新しいセキュリティプロトコルHSTS、ハードウェアアクセラレーションを加えている。（2010/9/8）