アカウント名:
パスワード:
韓国の SNI を使ったこの方式のブロッキングは「先見の明」がある最先端の方法です。
Contributes to HTTP, TLS, QUIC development at IETF という肩書を持つ Kazuho Oku 氏でさえも、(とはいえ、SNI blocking するISP箱や国家レベルブロッキングしてる設備でも、たまたま入れてる設備が同等・互換で見て遮断しちゃうとかはあるんだろうな的な。)というツイートに対して、「そういう話は聞いていませんし、実際、大規模なブロッキングではTLSの中身を見てどうこうするというコスト高の手法はこれまで避けられてきたと理解しています」と 返答 [twitter.com] しているほどです。
しかし指摘にあるようにHTTP/HTTPSに対していちいちプロトコルまでデコードするのは設備的に大がかりじゃありませんか。あの国だからISPも寡占化が進んでいるのでしょうけど、すべてのHTTP/HTTPSリクエストに対してデコードとDNS名マッチングするのは大変な計算リソースが必要な気が。
p.s.ポート名を変えたプロクシを日本に立てれば、彼らは抜けられるかも。
2008年だったかな07年だったかな、そこら辺の実情を韓国で見てきた人の勉強会に参加したことがあったんですけど、その時点で、すでに、韓国のネット検閲装置を開発してる企業は、パケット自体を(TLSやSSLの中身に介入して)チェックして検閲回避を阻止したり、検閲回避をする人をブラックリスト化するシステム・それも相当高速なシステムを多くの国や企業・公的機関に売り込んでたんですよね。勿論、その会社だけではなく、韓国だけでそのような会社が数社あり、ISPやなんやに売り込んでて、営業先には日本の企業やIHCのような準公的機関も含まれてる。と言う話でした。
10年ほど前でそんな状態だったのですから、今はもっとえげつないでしょう。TLS1.2までのセキュリティホールを高速に破壊したり、TLS1.3以降で回避しようとしたりする人をブラックリスト化したりパケットをすり替えたりするようなシステムが、すでに韓国企業や他国企業によって商品化されてておかしくない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
韓国のブロッキングは「先見の明」がある最先端の方法 (スコア:1)
韓国の SNI を使ったこの方式のブロッキングは「先見の明」がある最先端の方法です。
Contributes to HTTP, TLS, QUIC development at IETF という肩書を持つ Kazuho Oku 氏でさえも、
(とはいえ、SNI blocking するISP箱や国家レベルブロッキングしてる設備でも、たまたま入れてる設備が同等・互換で見て遮断しちゃうとかはあるんだろうな的な。)というツイートに対して、
「そういう話は聞いていませんし、実際、大規模なブロッキングではTLSの中身を見てどうこうするというコスト高の手法はこれまで避けられてきたと理解しています」と 返答 [twitter.com] しているほどです。
Re:韓国のブロッキングは「先見の明」がある最先端の方法 (スコア:1)
しかし指摘にあるようにHTTP/HTTPSに対していちいちプロトコルまでデコードするのは設備的に大がかりじゃありませんか。
あの国だからISPも寡占化が進んでいるのでしょうけど、すべてのHTTP/HTTPSリクエストに対してデコードとDNS名マッチングするのは大変な計算リソースが必要な気が。
p.s.
ポート名を変えたプロクシを日本に立てれば、彼らは抜けられるかも。
Re:韓国のブロッキングは「先見の明」がある最先端の方法 (スコア:1)
2008年だったかな07年だったかな、そこら辺の実情を韓国で見てきた人の勉強会に参加したことがあったんですけど、その時点で、すでに、韓国のネット検閲装置を開発してる企業は、パケット自体を(TLSやSSLの中身に介入して)チェックして検閲回避を阻止したり、検閲回避をする人をブラックリスト化するシステム・それも相当高速なシステムを多くの国や企業・公的機関に売り込んでたんですよね。
勿論、その会社だけではなく、韓国だけでそのような会社が数社あり、ISPやなんやに売り込んでて、営業先には日本の企業やIHCのような準公的機関も含まれてる。と言う話でした。
10年ほど前でそんな状態だったのですから、今はもっとえげつないでしょう。TLS1.2までのセキュリティホールを高速に破壊したり、TLS1.3以降で回避しようとしたりする人をブラックリスト化したりパケットをすり替えたりするようなシステムが、すでに韓国企業や他国企業によって商品化されてておかしくない。
Re:韓国のブロッキングは「先見の明」がある最先端の方法 (スコア:2)