FirefoxがDNS over HTTPなどをサポート、批判も 70
ストーリー by hylom
自分でビルドすれば良いんじゃないかな 部門より
自分でビルドすれば良いんじゃないかな 部門より
Firefoxで、DNS over HTTPS(DoH)やTrusted Recursive Resolver(TRR)といった技術の導入が検討されている。DoHはHTTPベースでDNSサーバーとやりとりを行なってドメイン名の解決を行う技術、TRRはネットワーク内にあるDNSサーバーを利用せず、独自のDNSサーバーを使ってドメイン名の解決を行うというものだ。これら技術は、DNSにおいて特定ドメインの名前解決を拒否する(適切な結果を返さない)ことで特定サイトをブロックするという検閲手法や、DNSサーバーへのトラフィックからの閲覧履歴の収集などを回避するためのものとされている(Mozilla Hacks)。
一方でこういった技術が導入された場合、ユーザーが独自のDNSサーバーを利用することは難しくなり、名前解決が中央集権的に行われるようになることから、批判の声も出ている(オープンソース関連の事業を行うungleichのBlog)。
なお、これらの実装はFirefoxのNightlyビルドにて導入されており、設定を変更することで有効になる。
×HTTP ○HTTPS (スコア:1)
Sをお忘れなく。
あとリンク先ですが、DoH, TTRといった技術の導入が危ないと言ってるのではなく、Firefoxの設定がCloudflareを参照しに行くようになっていることを問題視しています。
オプションをONにすると、PCのDNS設定に関わらず、すべての問い合わせがCloudflareに行く、すなわちDNS問い合わせが全てCloudflareに筒抜けになる状況を危惧した発言だと思います。
また、Cloudflareが単一障害点になることも問題にしてます。
Re: (スコア:0)
つうか、なんでよりにもよって、Cloudflareなんだ?
海賊版サイトの温床になったり、その一方で諜報機関とつながりがあると絶えず噂がある、最も怪しい、邪悪なCDNの一つじゃないか。
せめて、信頼できるDNSリストを用意して、そこをランダムに使用するとか、せめて選べるようにするべき。
Re:×HTTP ○HTTPS (スコア:1)
他に選択肢がないよーな?
Re: (スコア:0)
そんな噂を心配する暇があったら、平文通信&毒入れ放題で、改めようにもにっちもさっちもいかない現状のDNSを心配しろよ。
Re: (スコア:0)
それ、論点のすり替えだよ。
他に問題のあるDNSサーバがあるからといって、それでCloudflareの信頼性が低く、問題が多い事には変わりが無い。
また、実際の所、多くのDNSはプロバイダが設置したISPの閉鎖網の中にあるものを利用するだろうから、特殊な場合を除き、実務上は問題は無い。
Re: (スコア:0)
誤字仕込んでた。×TTR ○TRR
表向きは完全に安全だが、NSAに全世界の情報が奪われる恐れあり (スコア:1)
Firefoxが唯一のTrusted Recursive Resolverとして Cloudflare の Public DNS [1.1.1.1] を採用する理由は、
で、表向きは通信の自由も通信の秘密(プライバシー)も完全に保たれます。
ただ、所詮アメリカの営利企業なので、NSAに密かに協力し、もしくは圧力をかけられて、情報を垂れ流す可能性が無いとはいえません。
世界中の名前解決を、アメリカの1企業(とバックにいるNSA)に支配されるというのは危険極まりないのです。
こう書くとFUDに思えるかもしれませんが、NSAが民間企業から不法に情報をスパイしていた前科は公になっているだけで過去に数えられないほどあります。
TLSを使っていれば大丈夫、というのもNSA対策としては誤りです
例えばLet's Encrypt等のアメリカのCAの証明書を使っていたとして、NSAが認証局の中の人に裏金を払ったり脅したりして偽証明書を発行させるかもしれません
ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません
なので、少なくとも使用するDNSサーバと、TLS証明書の認証局の国ぐらいは、ばらけている方が良いでしょう。
両方アメリカというのは危険すぎです。
Re:表向きは完全に安全だが、NSAに全世界の情報が奪われる恐れあり (スコア:1)
> ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません
これの対応としてGoogle Chromeは、2018/04/30以降に発行された証明書で、SCTが埋め込まれていない証明書を信頼しないようになりました。LEもすでに埋め込んでます。
※正確にはTLS拡張やOCSP Staplingで配布してもいいらしいが、対応サーバがあまりないのでふつうは埋込で対応している。
Re: (スコア:0)
https://jp.globalsign.com/blog/2018/certificate_transparency2018.html [globalsign.com]
今のところGoogle ChromeのみCTポリシーに準拠していない場合に警告出しているっぽいですね
Re: (スコア:0)
でもFireFoxはct対応してないよね
Re: (スコア:0)
そうなのか。勉強になった。
結構影響大きそうだったのにあまり騒がれなかったのは何故だろう。
Re: (スコア:0)
>ただ、所詮アメリカの営利企業なので、
Mozilla Foundation は営利企業ではなくて、非営利団体ですね。
Re: (スコア:0)
分かりにくくてすみません
「所詮アメリカの営利企業なので」はMozillaじゃなくてCloudflareについてです
Re:表向きは完全に安全だが、NSAに全世界の情報が奪われる恐れあり (スコア:1)
了解しました。
国別にしろ (スコア:0)
今のSSLはどっかの認証局が不正をしたら如何なるサイトの偽証明書も作れちゃうから根本からして駄目だね
例えば、jpドメインならJPRSサーバー証明書 [jprs.jp]しか認めない、のような仕組みにすべき
証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する
Re:国別にしろ (スコア:2)
競争原理が働かないと、GPKIみたいな杜撰な認証局がその辺にごろごろあふれることになる。
加えて、国単位で一つしか認証局がなかったら、スパイ組織にとっても攻撃対象が絞れるので有利。
一方、現状の仕組みであっても、証明書はルート証明書も含めrevokeすることができる。
競争のある環境の方がまし。
Re: (スコア:0)
認証局、特にデジサートあたりを悪の組織と思っていませんか?
また仮に国別に認証局を一つしか認めない、とした場合、その一つの認証局がミスや障害を含めた不正な証明書を発行して発覚した場合、最悪証明書を適用しているJPドメインすべてがrebokeされて目も当てられない状態になるのでは、と思ってしまいます。
WEBだけならともかく、メールやクライアント証明書、アプリで必要な場合等、最悪のパターンを想定すると悪夢にしかならない気が……
Re: (スコア:0)
FIREFOXの話なのに
> 世界中の名前解決を
なんでこんなおおげさに騒ぐの?
Re: (スコア:0)
Firefoxの利用者は世界中に居るので、「世界中の名前解決」という表現は間違っていないと思うが。
日本語勉強されては如何?
Re: (スコア:0)
どうしてそんな思い込みをしちゃったんですか?
平和ボケの最たるもんだなこりゃ
Re: (スコア:0)
NTTがやろうとしたことをもう忘れたのですか?
痴呆症だなこりゃ
ISPのDNSブロッキングは逃げ道がある (スコア:0)
やろうとしただけでやらなかったよね
それに仮にISPのDNS鯖がブロッキング始めたらルータやOSの設定で別のDNS鯖指定すればいいだけだけど
ブラウザがCloudflareをハードコーディングしたら万が一Cloudflareがブロッキングを始めたときの逃げ道が全くない
オープンソースだからソースコードを自分で弄ってビルドすればいいとでもいうのか?
ブラウザのソースコードは膨大な容量なので一般人が持ってるノートPCでは現実的な時間でビルドすることすらできん
Re: (スコア:0)
つまり「日本政府は犯罪防止の目的でボクの自由を妨げる(※妄想)ので、アメリカの方が信頼できる(※アメリカ含む主要国ではとっくにブロッキングは実施中)」ってことですか?
平和ボケどころの話じゃ無かったなこりゃ
アメリカはブロッキングしてません! (スコア:0)
※アメリカ含む主要国ではとっくにブロッキングは実施中
なんでそういう嘘吐くの?
せめて、Wikipedia ブロッキング_(インターネット)#アメリカ [wikipedia.org] ぐらいは読んでこい
「アメリカはサイトブロッキングは導入されておらず」(Wikipediaより引用)
Re: (スコア:0)
ただしソースはWikipediaもいいとこ。丸ごと間違い。
2004年にある州がblockingを合法化する州法を作り、それが連邦法に違反するかどうか争われて、最終的には合法の判決が出ている。 その後、実質的に全てのプロバイダがblockingを実施している。
Re: (スコア:0)
Wikipediaのソースがない記述を盲信して他人を嘘つき呼ばわりする前に、サクッとググるくらいした方がいい
Re: (スコア:0)
2004年とはずいぶん古い話だな
2013年の財団法人 社会安全研究財団の報告書「G8 諸国における児童ポルノ対策に関する調査」p.4
https://www.syaanken.or.jp/wp-content/uploads/2013/03/cyber2503_01.pdf [syaanken.or.jp]
(ウ) 通信事業者に関する規制
アメリカにおいては、児童ポルノについて、インターネット上でのブロッキングを要
求する法律は存在しない。
ただし、第 2258A 条において、電気通信サービス(electronic communication service)、
若しくはリモートコンピューティングサービス(remote computing service)を提供して
いるプロバイダに対して児童ポル
Re: (スコア:0)
その報告書のp.17
> (ウ)ブロッキング
> アメリカでは前述したように、ブロッキングに関する法律はない。
> 従来、ISP に対してヒアリングを行っても、アメリカではブロッキングが実施されてい
> ないという回答が返ってきていた23。URL リストを作成している NCMEC に対してヒア
> リングを行った際にも、ISP がブロッキングを行っているかは把握していないという回答
> であった24。しかし今回の調査によって、大手の ISP のすべてにおいてブロッキングが実
> 施されていることが判明した。特に ISP が宣伝をしているわけではないため、実施され
> ていないように見えるとのことである。25
ブロッキングしている事実を隠しているけど、実はブロッキングしているのがアメリカ(笑)
アメリカのいう事なんて信用できんわ
Re: (スコア:0)
実質的に全てのプロバイダがblockingを実施している。
これも間違い。blockingは民間主導の取り組みで、ユーザーカバー率で言えば、95%ぐらい。
Re: (スコア:0)
NTTにブロッキング指示しといて、プロバイダが自主的にやったと、はしごを外す日本政府と手口が全く一緒だなw
Re: (スコア:0)
> ※アメリカ含む主要国ではとっくにブロッキングは実施
はいいとして、クラウドフレアのDNSはブロッキングしてるの?
そこが本件の本質なのではっきりさせて欲しいな
誰かクラウドフレアにメールで問い合わせてくれないかな
Re: (スコア:0)
つ 言い出しっぺの法則
日本はアメリカからすると中国のような検閲イントラネット (スコア:0)
NTTどころか日本の全ISPは既に児童ポルノブロッキングしてるよね
児童ポルノに世界一厳しいアメリカでさえ、児童ポルノブロッキングなんてやってないのだから日本はやる必要無かった
既にブロッキングしている事実がある以上、日本のISPのDNSサーバは信用できないので、DNS over HTTPSを強要するのは当然だよ
Re: (スコア:0)
>児童ポルノに世界一厳しいアメリカでさえ、児童ポルノブロッキングなんてやってない
は?
早い州では2004年からやってるが
適当にデマを流すなよ。
Re: (スコア:0)
ブロッキングしてない派もブロッキングしてる派も両方ともデマ流すな
現状されてるけどISPが勝手にやってるという名目だから「州」は関係ないし「州」ごとにブロッキングの有無が異なるわけじゃない
児童ポルノブロッキングを強制するアメリカ法は無いしやってないISPもある
Re: (スコア:0)
補足
ブロッキングの合法性についての争いは主に憲法修正1条、修正4条が争点になってるから州法は関係ないぞ
ちなみにほぼブロッキングをしているISP側が勝訴してる≒ブロッキングが合憲とされてる
Re: (スコア:0)
自分の調べが足りないのを「デマ」って言うのはどうかと思うが
児童ポルノなど問題のあるサイトをブロックする動きが出たがうとしたが、現行法そのままでは違法と言われる可能性があったので、州法が作られたという経緯。
その州法をきっかけにそれが連邦法で問題が
Re: (スコア:0)
日本の政府・警察がどれだけIT方面で無能なのか分かってるんだろうか
先進国でほぼ唯一日本にはまともな諜報機関も無いし民間からスパイするだけのスキルも無い
日本政府のスパイから逃れて安全な通信を行いたければTor Browserを使うだけですむよ(笑)
日本の警察や政府にはTorの通信を解読する能力などないからね
Torを使った犯罪が京都府警に検挙されたケースもあったがあれはTor以外の別ルートから犯人を絞り込んだのだろう
一方アメリカ様のスパイからは逃れられない
WindowsにもTor Browserにも米諜報機関のバックドアが大量に仕込まれているといっても良いだろう
OSもブラウザも毎月のように大量の「脆弱性」が発覚してパッチが提供されているが、その内1割ぐらいは諜報機関が意図的に仕込んだバックドアで
まだ未発見のバックドア(未知の脆弱性)が沢山残っているかもしれない
1.1.1.1 は過去に数回障害起きてる (スコア:1)
1.1.1.1 はサービス開始してから1年も経っていないのにもう1時間ぐらい連続している障害が数回発生している
DNSサーバー「1.1.1.1」が利用できない障害発生中(2018年4月22日)
https://did2memo.net/2018/04/22/dns-1-1-1-1-failure-2018-04-22/ [did2memo.net]
自分も経験ありで1.0.0.1も同時に落ちてて、8.8.8.8とかISPのDNSでは正常に引けるし、VPN経由でも同様の問題が起きたので、1.1.1.1側の障害なことが明らかだった
こういう信頼性の低いキャッシュサーバを強要するのはどうかと思う
プラグインで制御できるならこっちの方がいいかな (スコア:0)
従来のだと名前解決がOS側に回るからhostsファイルでブロックすることになり、そうなるとブラウザ以外もブロックされてしまうという難点があった。
DoHになればブラウザ側だけで制御できるからそっちの方がいいかな。
#収集するのがDNSサーバーからDoHサーバーに代わるだけで閲覧履歴の収集に使われること自体は同じでしょうに
プライベートネットワークはどうなるの? (スコア:0)
企業とかの中だと、社内からだけ引けるドメインを用意してることが普通にあると思うんだけど、そういうのはどうなるの?
あれ、もしかしてそういう会社ってもはや少数派だったりする?
でも Web proxy 設定が必要な会社ではだいたいそうだし、ブラウザに proxy 設定機能自体はあるよね。
Re: (スコア:0)
HTTPSだから、そのproxyを通した上でDNSやるんじゃないかな。proxyがDNS引くのは証明書関連と最終的な接続先だけで。
でそのDNSサーバが嘘を返したらTLSでの通信に失敗して名前解決自体に失敗する、と。
Re: (スコア:0)
結局社内からしか名前の引けないの Web サーバーにはアクセスできなくなるの。
使えなさすぎる。
Re:プライベートネットワークはどうなるの? (スコア:1)
FirefoxのDoHには複数のモードがあります。
1.DoHと普通のDNSを両方使用し、応答が早かった方を採用する
2.DoHで名前解決に失敗したときに普通のDNSを使用する
3.DoHのみを使用する
DoHで名前が引けないだけなら、1か2のモードなら大丈夫かも知れません。
試した事ないのではっきりとは言えませんが。
Re: (スコア:0)
当然無視されます。
Firefoxのリリース版にはUIは未実装ですがDoHの機能自体は入っていて、about:configから有効化できます。
自宅ではルーターにAtermを使用していて、DHCPで指定されたDNSを使用する環境ではaterm.meドメインへのアクセスはローカルルーターの管理画面に接続されるようになっているのですが、FirefoxでDoHを有効化するとインターネット上にあるaterm.meのホストへ接続されます。
例外を指定する方法もあるのかも知れませんが、調べてないので知りません。
Google がおんなじことやったら叩かれまくるだろうな (スコア:0)
Mozilla Firefox × CloudFlare だから許されるものの、
Google Chrome × Google Public DNS (8.8.8.8) だったら袋叩きになっていただろうね。
独占禁止法違反だとかGoogleに支配されるWebが危険だとか。
良くも悪くもマイナーブラウザFirefoxだから許される話だな。
Re: (スコア:0)
Firefoxが作った道を後からGoogleがついてくるシナリオでしょう。
オプトインだから、と実装して、いつの間にか強制になる未来。
この件Googleの陰謀だろ (スコア:0)
ありそうだね。
Firefoxがこれを実装してしまったら、ネットの支配者になりたいGoogleは間違いなく追従するであろう。
それを見越してFirefox開発チームに刺客を送り込んでいたかもしれんな。
Googleがネットの支配者にならないために、FirefoxへのDNS over HTTPS(DoH)やTrusted Recursive Resolver(TRR)といった技術の導入は食い止めなければならない。
正体不明のネットワーク管理者よりは Cloudflare のほうがマシ (スコア:0)
Symantec 証明書を平気で使うような組織にいるので、DNS サーバもちゃんと管理されているか心配。
Cloudflare のほうがまだ安全かなという気がする。
Firefox の DoH は Google の experimental なサーバーでも動くので、Cloudflare が嫌いな人も使える。対応した DoH サーバが増えれば両方嫌いな人でも使えるようになる。
Re: (スコア:0)
「ボクはカレーが嫌いなので、うんこを食べます」って感じ?