アカウント名:
パスワード:
https(http over ssl) は筋が良いと思えない。
ssl の上に http を乗せ、さらに上に dns を乗せるって事になるなんてね。ftp など ssl に乗っかる他のプロトコル(ftps や sftp)と合わせる方がよりシンプルで筋が良いと思う。
google なんかが DNS 情報を得る(それで商売する)ために推進している様にしか見えない。
筋の良し悪しはともかく、http(https含む)に載せるところに価値がある。
そもそもは80と443以外の通信を全遮断する「セキュリティの誤った常識」が元凶な気もするが、それによる「障害」も多くて苦情を受けるソフトウェアベンダとしては「障害対応」する必要があった。で、間にFWが居ようがプロキシが入ってようが突破できる唯一のプロトコルがhttpだった。
そしていつしか経路上の邪魔者を突破するにはHTTPに載せてしまえって風潮が主流になってしまった。今やVPNも443使うのが王道。
勝手に補足すると、DoHは政府やISPの検閲回避のためでもあるので。443番ポートでもFTPSだとふるまい検知で止められてしまうおそれがある。しかしHTTPSなら通常のトラフィックとDNS問い合わせの見分けがつきにくい。政府やISPもまさかHTTPSを全部止めるわけにもいかない。現に金盾では散発的な443番ポート利用が可能(VPNのような長時間セッションは切断される)
DNS over TLS(DoT)は853番ポート利用が必須扱いなので、政府やISPにポート遮断されたら終わり。だから推進するならDNS over HTTPSしかありえない。
DNSのトラフィックはレスポンスの量がかなり少ないことなど、通常のHTTPSとは振る舞い上かなり違いがあるのではないだろうか。金盾レベルが本気になったら厳しいと思うのだが。
データの量が少ない通信はいっぱいありそうだけどね。各々がビーコン飛ばしまくってるだろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
DNS over SSLはどうなる (スコア:0)
https(http over ssl) は筋が良いと思えない。
ssl の上に http を乗せ、さらに上に dns を乗せるって事になるなんてね。
ftp など ssl に乗っかる他のプロトコル(ftps や sftp)と
合わせる方がよりシンプルで筋が良いと思う。
google なんかが DNS 情報を得る(それで商売する)ために推進している様にしか見えない。
Re: (スコア:0)
筋の良し悪しはともかく、http(https含む)に載せるところに価値がある。
そもそもは80と443以外の通信を全遮断する「セキュリティの誤った常識」が元凶な気もするが、
それによる「障害」も多くて苦情を受けるソフトウェアベンダとしては「障害対応」する必要があった。
で、間にFWが居ようがプロキシが入ってようが突破できる唯一のプロトコルがhttpだった。
そしていつしか経路上の邪魔者を突破するにはHTTPに載せてしまえって風潮が主流になってしまった。
今やVPNも443使うのが王道。
Re: (スコア:5, 参考になる)
勝手に補足すると、DoHは政府やISPの検閲回避のためでもあるので。
443番ポートでもFTPSだとふるまい検知で止められてしまうおそれがある。
しかしHTTPSなら通常のトラフィックとDNS問い合わせの見分けがつきにくい。
政府やISPもまさかHTTPSを全部止めるわけにもいかない。
現に金盾では散発的な443番ポート利用が可能(VPNのような長時間セッションは切断される)
DNS over TLS(DoT)は853番ポート利用が必須扱いなので、政府やISPにポート遮断されたら終わり。
だから推進するならDNS over HTTPSしかありえない。
Re: (スコア:0)
DNSのトラフィックはレスポンスの量がかなり少ないことなど、通常のHTTPSとは振る舞い上かなり違いがあるのではないだろうか。金盾レベルが本気になったら厳しいと思うのだが。
Re:DNS over SSLはどうなる (スコア:0)
データの量が少ない通信はいっぱいありそうだけどね。各々がビーコン飛ばしまくってるだろうし。