Baby steps to migratory bird

元半導体系エンジニア、今Webエンジニアの雑記

【参加してきた】次世代Webカンファレンス

先週開催された次世代Webカンファレンスに参加してきました。

nextwebconf.connpass.com

各セッション資料は用意されておらず、各分野の有識者によるディスカッション形式で話が進みました。

セッションの構成は下記になります。

  • アクセシビリティ
  • パフォーマンス
  • WebXR(*)
  • セキュリティ(*)
  • 広告
  • 認証
  • マイクロサービス
  • SRE
  • HTTP3(*)
  • フロントエンド
  • HTTPS(*)
  • CSS
  • Webミュージック
  • デザイン

*付のセッションに参加

このところはRubyによるオブジェクト指向/デザインパターン、JavaScript、Gitの基礎的なところを勉強しているので、今回は視野を広げるべく普段あまりインプットしないジャンルのセッションに参加しました。 (動画が公開されているため、全て観られるのですが)

基本的にはなるほど知らなかった、というトピックが多く検索しつつ箇条書きしたメモになります。

メモ

セキュリティ

今度から徳丸本の輪読会を始めるし、生徳丸先生もいらっしゃるのでちょっとしたミーハー感もありつつ選びました笑

  • Webアプリの開発者はセキュリティについてどの程度気にするべきか?

    • あまり気にしなくていいのでは?(気にしたいけど)
    • ブラウザ側の問題なのにアプリ側で対応する、というのはいけてない。
    • Flashだとクロスドメインなのにjsonが送れる問題(徳丸本に書いてあるとのこと)
    • 正しく理解せずに「いいから黙ってつけとけ」に従っていると、機能が動かない時などよくわからず外してしまったりするので危険
  • クッキーの上書きに対して

    • __hostのクッキーで対応できる。
    • githubのクッキーでも採用されている。
    • これをman in the middleで設定していないと、httpsに対応していても、クッキー上書きにより他人がログインできてしまう。
    • プリロードでの対応策もある?
  • ダブルサブミットクッキーはダメ?

    • fuelPHPやDjangoでデフォルトで入っていたらしい。
    • OWASP
  • クッキーの使用では;のみ区切り文字だが、

    • パーサーにより:も対応しており、
    • それによるニッチなバグがあったりする。
  • CSPについて

  • GDPRの影響

    • クッキーをセットするのに同意を求めるやつ
    • 今形骸化してしまっているのですごく良くない。
      • 昔話) IEのP3Pポリシー
  • 個人情報の収集について

    • google検索でリファラーが送られていたり(今はやめたらしい)、マーケティング目的でユーザーの動作を収集していたりするが、これは業界的にはなし崩し的に常識となっているが、知識のない一般ユーザーはそういうことを認識していなかったりする。
    • そのうち「このサイトではJavaScriptが使われています」と出さないといけなくなるのでは? →ディストピア感。。
  • ハードウェアだとPL法によりセキュリティバグを公表しなければならないが、ソフトウェアはそうでなく公表されないケースが多い。

  • man in the middleプロキシ

  • Webアプリケーションエンジニアに対するお気持ち表明

    • 徳丸さん「何でもかんでもコピペするのは危ない」
      • 検索して一発目に出てくるコードがイケてないことが良くある。
    • bulkneetsさん「開発者みんながセキュリティに対する当事者意識を持ってほしい」
      • 全ては分かってなくても良いが、取っ掛かりでそこに気づいてほしい。気づいてくれれば、あとは相談してもらえれば良い。
    • k2wankoさん「開発者のみなさんにもセキュリティについてもっと興味を持ってもらえると嬉しい」
      • リクルートだと開発者とセキュリティのジョブローテがあるらしい。

WebXR

  • XR: AR/VR/MRを合体させたもの

  • WebXRは来ると思うか?

    • モバイルデバイスから来ると思っている。ARが来る。
    • その中でWebで有用性があると思うのは、ショッピングサイトの商品を自分の部屋に置いてみる体験をしてもらう。
    • 例えば教育。博物館などにあるようなものを実際に部屋に置いてみる。
    • また地図。自分が行きたい方向へ矢印を表示する

Webの良さはインストールがいらないところ

  • ARクラウドという情報インフラが出て来るのでは?と各社興味を持っている。

  • WebGLは来る?

    • ハイエンドのゲームから、一般ユーザー向けの簡単な動きを作るところまで。
    • ブラウザからGPUの力を使うためにWebGLを使う。
    • CG界隈は堅苦しい?WebGL界隈にはその雰囲気は持ち込みたくないと思っているが、、
    • WebGL:ゲームのようなハイエンドから、サイト上での簡単な動気をつける、GPUを使うためなど、色々な使い方がある
    • 3Dは必要になるし、学んで置いた方が良いのでは?
    • 今の時点では3Dの表現をできるのはWebGL一択
    • WebGPU、Web用のシェーダー言語、などWebGLに変わる新しい仕様が出るかもしれないが、今のところはWebGL一強
  • Web開発者目線でのARとの付き合い方

  • テレビはしばらくなくならなさそう

    • WebとつながることによりXRへつながっていく。
  • 今時はリンクをシェアしない。画面をキャプチャしてシェアする。

    • URLをわからず使っている。
    • ARと知らずにARを使う世の中になるのでは。
  • play canvas

  • ARはWebがいいと思うが、VRはWebでなくてもいいのでは

  • いつ来るのか?

    • 今は仕様策定の最中
    • WebVRはすでにChrome LTSに載っている。ARはまだ載っていない。
    • ポジトラ:ポジショントラッキング
    • KhronosはOpenXRをやろうとしている。
    • 2020年に5Gが来るので、その頃には来るのでは?
    • モバイルよりはSSRしたものを送ってしまった方がいい説
    • 3Dに触れておくとか、3Dに数学が必要なんだな、ということを今のうちに知っておくのが良さそう。
  • CSSシェーダーなくなってしまったのが残念。。

  • WebGL村はCG国とWeb国の派閥の間にいる
  • WebGLは色々自分でやらないといけない。結構難しいのは知って置いた方が良い。
    • だが、手軽な方向に行って欲しい。
  • シェーダー
  • ジオメトリ
  • google poly
  • 今のうちに低レイヤーの仕様をきちんと策定しておきたい。

  • WebXRは機械学習と相性が良さそう

HTTPS

(自分がよくわかっていないところ、大体古川さんの要約ツイートがされてて助かりました)

  • EVも信頼を失いつつある今、CAは何を売るのか?

  • HTTPSだけで安全を保証できないなら、「安全に安全を保証するにはどうすれば良いか?」

  • TLS1.3

  • MLS: Message Layer Security
  • SSL pulse

  • TLS1.0と1.1を消すのはどのくらい大変なのか?

  • TLS1.3以降で必要になって来るものは?

    • TLSの量子コンピュータへの対応も必ず必要になって来る
      • 量子コンピュータがデプロイされる前に準備されておかなければならない。
    • 量子コンピュータは周期性があるものに対する計算が強い

      • 鍵交換では素数を使っているのでなんとかしないといけない(素数には周期性がある)
      • ハッシュ値を使っているものは、桁数を上げれば対応できるはず。
    • LTSという土管を通る前後の安全性をどう扱うか?

      • LTSの上位レイヤーの話
    • SXG

    • コンテンツに対して証明できるようにしたい。

    • AMP: Accelarated Mobile Pages

    • URLで識別するには、もう限界がきている。

HTTP3

まとめ

話題も多岐にわたりいろいろと消化しきれていないのですが、各分野で前線を貼っている人たちが何を気にして戦っているのかを知れたのは良かったかなと思います。

あと「そもそも普段自分が触っている技術の最前線を抑えられているか?」と自分に問い直してみると、 「ニュースとして流し見はしているが理解度は高くない」ということが多いのでまずはそこから対応した方が良いよね、というお気持ちです。