アカウント名:
パスワード:
https(http over ssl) は筋が良いと思えない。
ssl の上に http を乗せ、さらに上に dns を乗せるって事になるなんてね。ftp など ssl に乗っかる他のプロトコル(ftps や sftp)と合わせる方がよりシンプルで筋が良いと思う。
google なんかが DNS 情報を得る(それで商売する)ために推進している様にしか見えない。
googleがhttpsから抜けるならftpsでもなんでも抜けるやろWEB企業だからhttpが得意のはずとかそんなレベルの話なん?
筋の良し悪しはともかく、http(https含む)に載せるところに価値がある。
そもそもは80と443以外の通信を全遮断する「セキュリティの誤った常識」が元凶な気もするが、それによる「障害」も多くて苦情を受けるソフトウェアベンダとしては「障害対応」する必要があった。で、間にFWが居ようがプロキシが入ってようが突破できる唯一のプロトコルがhttpだった。
そしていつしか経路上の邪魔者を突破するにはHTTPに載せてしまえって風潮が主流になってしまった。今やVPNも443使うのが王道。
勝手に補足すると、DoHは政府やISPの検閲回避のためでもあるので。443番ポートでもFTPSだとふるまい検知で止められてしまうおそれがある。しかしHTTPSなら通常のトラフィックとDNS問い合わせの見分けがつきにくい。政府やISPもまさかHTTPSを全部止めるわけにもいかない。現に金盾では散発的な443番ポート利用が可能(VPNのような長時間セッションは切断される)
DNS over TLS(DoT)は853番ポート利用が必須扱いなので、政府やISPにポート遮断されたら終わり。だから推進するならDNS over HTTPSしかありえない。
DNSのトラフィックはレスポンスの量がかなり少ないことなど、通常のHTTPSとは振る舞い上かなり違いがあるのではないだろうか。金盾レベルが本気になったら厳しいと思うのだが。
データの量が少ない通信はいっぱいありそうだけどね。各々がビーコン飛ばしまくってるだろうし。
ServiceWorkerとかJsでJSON Fetchしていたら、少ないレスポンス返ってきたりするのではないかな?
目的が悪徳政府の検閲だとか、善なる大企業の監査だとか関係なく、エンドツーエンドの暗号化トンネルが損なわれるのは「障害」で、当然常に「障害対応」として排除されるべき対象ってことか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
DNS over SSLはどうなる (スコア:0)
https(http over ssl) は筋が良いと思えない。
ssl の上に http を乗せ、さらに上に dns を乗せるって事になるなんてね。
ftp など ssl に乗っかる他のプロトコル(ftps や sftp)と
合わせる方がよりシンプルで筋が良いと思う。
google なんかが DNS 情報を得る(それで商売する)ために推進している様にしか見えない。
Re: (スコア:0)
googleがhttpsから抜けるならftpsでもなんでも抜けるやろ
WEB企業だからhttpが得意のはずとかそんなレベルの話なん?
Re: (スコア:0)
筋の良し悪しはともかく、http(https含む)に載せるところに価値がある。
そもそもは80と443以外の通信を全遮断する「セキュリティの誤った常識」が元凶な気もするが、
それによる「障害」も多くて苦情を受けるソフトウェアベンダとしては「障害対応」する必要があった。
で、間にFWが居ようがプロキシが入ってようが突破できる唯一のプロトコルがhttpだった。
そしていつしか経路上の邪魔者を突破するにはHTTPに載せてしまえって風潮が主流になってしまった。
今やVPNも443使うのが王道。
Re:DNS over SSLはどうなる (スコア:5, 参考になる)
勝手に補足すると、DoHは政府やISPの検閲回避のためでもあるので。
443番ポートでもFTPSだとふるまい検知で止められてしまうおそれがある。
しかしHTTPSなら通常のトラフィックとDNS問い合わせの見分けがつきにくい。
政府やISPもまさかHTTPSを全部止めるわけにもいかない。
現に金盾では散発的な443番ポート利用が可能(VPNのような長時間セッションは切断される)
DNS over TLS(DoT)は853番ポート利用が必須扱いなので、政府やISPにポート遮断されたら終わり。
だから推進するならDNS over HTTPSしかありえない。
Re: (スコア:0)
DNSのトラフィックはレスポンスの量がかなり少ないことなど、通常のHTTPSとは振る舞い上かなり違いがあるのではないだろうか。金盾レベルが本気になったら厳しいと思うのだが。
Re: (スコア:0)
データの量が少ない通信はいっぱいありそうだけどね。各々がビーコン飛ばしまくってるだろうし。
Re: (スコア:0)
DNSパケットってケツにゴミついてても問題ないからGoogleのトップページのコピーでも貼り付けとけばいい
Re: (スコア:0)
ServiceWorkerとかJsでJSON Fetchしていたら、少ないレスポンス返ってきたりするのではないかな?
Re: (スコア:0)
目的が悪徳政府の検閲だとか、善なる大企業の監査だとか関係なく、
エンドツーエンドの暗号化トンネルが損なわれるのは「障害」で、
当然常に「障害対応」として排除されるべき対象ってことか