Mozilla、Firefoxで「DNS-over-HTTPS」を有効に 58
ストーリー by hylom
ついに 部門より
ついに 部門より
ドメイン名に対応するIPアドレスを取得することは「名前解決」などと呼ばれるが、この名前解決をHTTPS経由で行う「DNS-over-HTTPS」(DoH)が米国ユーザーのFirefoxでデフォルトで有効化された(窓の杜、ITmedia)。
特定のサイトへのアクセスを制限する手法の1つとして、DNSで一部のサイトの名前解決を行えないようにするというものがあるが、DoHを利用することでこれを回避することができる。また、DNSサーバーへの問い合わせ履歴を記録することでISPなどが顧客のWebブラウズ履歴を収集できるという問題についてもDoHが対策方法の1つとなる。
今回DoHがデフォルトで有効になったのは米国のユーザーのみだが、それ以外の地域のユーザーでもオプション設定などでDoHを有効にするよう変更できる。
それでuBlockOriginにIPのパーミッション要求が増えたんだな (スコア:1)
調べたらそんな話はしていたけど、確証が無かったけど、これで腑に落ちましたわ
1.1.1.1って実際どうなの? (スコア:0)
一時期試したけど逆引きできないサイトがあって元の8.8.8.8に戻した。
使ってる人いますか?
それに1.1.1.1自体あまり信頼できなさそう。(Twitter [codeberg.org])
誤解している人が結構いますが (スコア:5, 参考になる)
MozillaがFirefoxで使用しているCloudflare Resolver for Firefoxと1.1.1.1は微妙に違います。
前者はCloudflareとMozillaの間でデータに関する取り決めが行われており、24時間以内に削除されるログからはAutonomous System Numberが、
長期的に保持されるデータからはそのデータの大部分(プライバシーに関係するデータほぼ全て)が除外されています。
プライバシーポリシーも2つあります。
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privac... [cloudflare.com]
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privac... [cloudflare.com]
使ってる人いますか?
私は使っていますが、どこを使うのか(=何を信用するのか)は人それぞれだと思います。
Re: (スコア:0)
世の中にはこうしてCloudFlareのネガキャンに血道を挙げている人がいるのね。
自分はArchive.todayがDNSクエリをブロックするから別のに変えたクチだけど。
Archive.todayの中の人もこの宗教の信者だったのかな。
Re: (スコア:0)
いや、単純に宗教ではなくて困っている人がいるからこういうサイトが有るんじゃない?
去年にクラウドフレアが落ちてネットゲームとかが使えなくなって困らなかった?
Re:1.1.1.1って実際どうなの? (スコア:1)
CloudFlareに諸々問題があることはともかく、一般論としてキレてる人の話は割り引く必要があると思う
Re: (スコア:0)
特に困った記憶はないけど、仮に困ったとして数十分のダウンタイムでここまで恨みを募らせたりはしないよ。ちょっと常軌を逸してる。
Re: (スコア:0)
困ってるんだったら相応の(もっとマシだと思うサービスに)金を払えってことでしょ。
金ケチって落ちてキレて世話無いな。
Re: (スコア:0)
AWS東京リージョンの障害が夏にありましたが、そこでサービスが止まって困った(サービスの中の人としてではなく)からといってAmazonやAWSを避けた人がどの程度いたか?というのも興味ありますね。
Re: (スコア:0)
> AWS東京リージョンの障害が夏に
ありゃリージョン分散できてないサボった会社が困っただけだよ
うちはかけらも困らなかったのでそのままだよ
Re: (スコア:0)
嫌だったらSimple DNSCrypt入れて自分の好きな所を選択すれば良いと思うけど。
クライアントで嫌なDNS発信をブロック出来るし、便利。
Re: (スコア:0)
Cloudflareのポリシーかわからんけど、
確か一部のサイトの名前解決をブロックしたりもしてたはず。
8chか何かだったかな。
Re:1.1.1.1って実際どうなの? (スコア:1)
運営者の開示に積極的なCDNの方が気持ち悪いです
裁判所の令状があれば開示するスタンスになったのですから、
それで十分だとおもいますがいかがですか。
裁判所が判断しない状態で勝手に判断される方がマズいと思いますよ。
Re: (スコア:0)
すごい早口でキレてるところ申し訳ないけど、自分の悪感情を大上段に置いておいて次々に批判の理由を変えて正当化するの、批判として筋が通ってないよ。
Re: (スコア:0)
> 次々に批判の理由を変えて
誰がどこで?
> 正当化する
なにか正当化するような言説あったっけ?
説明求む。
Re: (スコア:0)
名前解決できないことがあった
から
違法コンテンツがどーのこーの
と華麗に批判の理由を変えている
悪徳業者だから信頼できないと言って1.1.1.1を使うのをやめたことを正当化している
Re: (スコア:0)
CDNとDNSを混同してるって事実を書いただけで、
DNSは信頼に値するだの経営方針は許容するだの一言も書いてないのに勝手に吹き上がってるの大草原
「盗聴できないのでセキュリティーが下がる」 (スコア:0)
早速業務用ファイアウォールで盗聴して楽しめないので困るとか言ってる奴が観測されて草
Re: (スコア:0)
企業内だと他社への攻撃に加担したり情報を漏洩したりするリスクを防ぐため、
特定のサイトへのSSL接続を一律禁止していたりします。
企業側から見るとこれは「監査」ですので、「セキュリティが下がる」というのは
必ずしも間違いでは無いものと思います。
Re: (スコア:0)
スラドはセキュリティが下がるサイトではないらしいので、優秀なフィルタですこと。
Re: (スコア:0)
それでプロキシが偽証明書食って気付かないってオチだよな、知ってる
Re: (スコア:0)
ペアレンタルコントロールも困るだろうな。
もしこれが原因で児童が犯罪に巻き込まれたらMozillaへの風当たりが強くなりそう。
Re:「盗聴できないのでセキュリティーが下がる」 (スコア:4, すばらしい洞察)
まずDNSが自由に選択できるペアレンタルコントロールはガバガバじゃん。窃視盗聴以前の問題。
Re: (スコア:0)
ペアレンタルコントロールDNSを販売します!
親御さんが望まない名前解決を一切ブロックします。
ブラックリストでもホワイトリストでも運用可能です!
…
hostsにしとけば。
Re: (スコア:0)
普通にコンテンツフィルタ搭載の透過Proxyで制御しろ
ホームユーザー向けならEthernetポート2口のPCがあればソフト側は無料のコンテンツフィルタ搭載のファイアウォールをSophosが出してる
もっと簡単な奴なら確かトレンドマイクロも出してたはずでっせ
Re: (スコア:0)
暗号化された通信もちゃんとフィルタリングできるならそれでいいね。ネタにマジレス。
Re: (スコア:0)
まあ、楽しいかは別として、どこにアクセスしていたか身の証を立てられないということは、調査名目でPCの中身を調べる口実とされても仕方ないということにもならないだろうか。
Re: (スコア:0)
業務用PCなら見られて揉めるのは秘密鍵くらいじゃね? 大抵そういう調査ツールは侵入経路にもなるが
Re: (スコア:0)
どこにアクセスしてたかはIPアドレスでわかるでしょ。
そのうちセッションごとに接続先の内容が変わる時代が来るかもしれないけど。100万人のユーザーがひとつずつアドレスを持ってて、サービス提供側が100万個のアドレスを持つような感じで順次切り替えていけば……
Re: (スコア:0)
業務用ファイアウォールがあるようならプロキシも用意できるんでは。
全てがHTTPSになる (スコア:0)
しばらく前には「全てがWebになる」いや「全てがHTTPになる」だ、とか言われたこともあるが、今や「全てがHTTPSになる」だな。
次はどうなる…「全てが443/UDPになる」か?
Re: (スコア:0)
HTTP/3 は UDP の上に乗っかってるんじゃなかったっけ?
Re: (スコア:0)
TCPとUDPでNAPTのやり方が変わるのでこのままIPv4主流が続いたとしたらポート不足で繋がらなくなる環境もありそう。
v6プラスとかモロに影響するんじゃなかろうか。
Cloudflairに筒抜けじゃん (スコア:0)
一般的なDNS
PC~プロバイダのDNSサーバ間を暗号化せずに問い合わせ
こんどのDNS
PC~CloudflairのDNSサーバ間を暗号化して問い合わせ
Cloudflairがログを採らないって信じるかどうかで、
どっちが安全かがかわってくる
そりゃ信頼できない (スコア:0)
Cloudflairってどこのパチモン企業?
Re:そりゃ信頼できない (スコア:1)
Re: (スコア:0)
リスク面だと
一般的なDNS
・プロバイダがログとってないか不明
・プロバイダまでの間で盗聴可能
こんどのDNS
・Cloudflareがログとってないか不明
ってことで、少なくともリスクを1つ潰せる。
スマホの方も適用するのかわからないけど、携帯回線や公衆WiFiなどでも暗号化DNS使ってくれる方が安全なのは間違いない。
Re: (スコア:0)
FirefoxのDoHの既定はCloudflareですが、NextDNSに変更したり、URLを指定することもできます。
これは、ストーリーからリンクされている記事にも書かれています。
FreeWifiでDNS制限掛けられた半繋ぎ状態から (スコア:0)
hosts辺りでhttps-dnsサーバを登録しとけば
ログインせずともweb閲覧自由自在ってことか?
そうfirefoxならね
Re:FreeWifiでDNS制限掛けられた半繋ぎ状態から (スコア:1)
あのな、キャプティブポータルはもう五年くらい前からOS側で自主的にダミードメイン踏むようになってんの
HTTPS化で開けなくなる! とかDNSを突いてタダで使える! ってのはもう遥か彼方の昔に解決してる
Re: (スコア:0)
ログイン前は外へのhttpsは通らないんじゃ
DNS over SSLはどうなる (スコア:0)
https(http over ssl) は筋が良いと思えない。
ssl の上に http を乗せ、さらに上に dns を乗せるって事になるなんてね。
ftp など ssl に乗っかる他のプロトコル(ftps や sftp)と
合わせる方がよりシンプルで筋が良いと思う。
google なんかが DNS 情報を得る(それで商売する)ために推進している様にしか見えない。
Re: (スコア:0)
googleがhttpsから抜けるならftpsでもなんでも抜けるやろ
WEB企業だからhttpが得意のはずとかそんなレベルの話なん?
Re: (スコア:0)
筋の良し悪しはともかく、http(https含む)に載せるところに価値がある。
そもそもは80と443以外の通信を全遮断する「セキュリティの誤った常識」が元凶な気もするが、
それによる「障害」も多くて苦情を受けるソフトウェアベンダとしては「障害対応」する必要があった。
で、間にFWが居ようがプロキシが入ってようが突破できる唯一のプロトコルがhttpだった。
そしていつしか経路上の邪魔者を突破するにはHTTPに載せてしまえって風潮が主流になってしまった。
今やVPNも443使うのが王道。
Re:DNS over SSLはどうなる (スコア:5, 参考になる)
勝手に補足すると、DoHは政府やISPの検閲回避のためでもあるので。
443番ポートでもFTPSだとふるまい検知で止められてしまうおそれがある。
しかしHTTPSなら通常のトラフィックとDNS問い合わせの見分けがつきにくい。
政府やISPもまさかHTTPSを全部止めるわけにもいかない。
現に金盾では散発的な443番ポート利用が可能(VPNのような長時間セッションは切断される)
DNS over TLS(DoT)は853番ポート利用が必須扱いなので、政府やISPにポート遮断されたら終わり。
だから推進するならDNS over HTTPSしかありえない。
Re: (スコア:0)
DNSのトラフィックはレスポンスの量がかなり少ないことなど、通常のHTTPSとは振る舞い上かなり違いがあるのではないだろうか。金盾レベルが本気になったら厳しいと思うのだが。
Re: (スコア:0)
データの量が少ない通信はいっぱいありそうだけどね。各々がビーコン飛ばしまくってるだろうし。
Re: (スコア:0)
DNSパケットってケツにゴミついてても問題ないからGoogleのトップページのコピーでも貼り付けとけばいい
Re: (スコア:0)
目的が悪徳政府の検閲だとか、善なる大企業の監査だとか関係なく、
エンドツーエンドの暗号化トンネルが損なわれるのは「障害」で、
当然常に「障害対応」として排除されるべき対象ってことか
5chに書き込みができるようになった (スコア:0)
まあメリットかな