パスワードを忘れた? アカウント作成
14122112 story
Firefox

Mozilla、Firefoxで「DNS-over-HTTPS」を有効に 58

ストーリー by hylom
ついに 部門より

ドメイン名に対応するIPアドレスを取得することは「名前解決」などと呼ばれるが、この名前解決をHTTPS経由で行う「DNS-over-HTTPS」(DoH)が米国ユーザーのFirefoxでデフォルトで有効化された(窓の杜ITmedia)。

特定のサイトへのアクセスを制限する手法の1つとして、DNSで一部のサイトの名前解決を行えないようにするというものがあるが、DoHを利用することでこれを回避することができる。また、DNSサーバーへの問い合わせ履歴を記録することでISPなどが顧客のWebブラウズ履歴を収集できるという問題についてもDoHが対策方法の1つとなる。

今回DoHがデフォルトで有効になったのは米国のユーザーのみだが、それ以外の地域のユーザーでもオプション設定などでDoHを有効にするよう変更できる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 調べたらそんな話はしていたけど、確証が無かったけど、これで腑に落ちましたわ

  • by Anonymous Coward on 2020年02月27日 18時01分 (#3769478)

    一時期試したけど逆引きできないサイトがあって元の8.8.8.8に戻した。
    使ってる人いますか?

    それに1.1.1.1自体あまり信頼できなさそう。(Twitter [codeberg.org])

    • by Anonymous Coward on 2020年02月27日 18時52分 (#3769514)

      MozillaがFirefoxで使用しているCloudflare Resolver for Firefoxと1.1.1.1は微妙に違います。

      前者はCloudflareとMozillaの間でデータに関する取り決めが行われており、24時間以内に削除されるログからはAutonomous System Numberが、
      長期的に保持されるデータからはそのデータの大部分(プライバシーに関係するデータほぼ全て)が除外されています。

      プライバシーポリシーも2つあります。
      https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privac... [cloudflare.com]
      https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privac... [cloudflare.com]

      使ってる人いますか?

      私は使っていますが、どこを使うのか(=何を信用するのか)は人それぞれだと思います。

      親コメント
    • by Anonymous Coward

      世の中にはこうしてCloudFlareのネガキャンに血道を挙げている人がいるのね。
      自分はArchive.todayがDNSクエリをブロックするから別のに変えたクチだけど。
      Archive.todayの中の人もこの宗教の信者だったのかな。

      • by Anonymous Coward

        いや、単純に宗教ではなくて困っている人がいるからこういうサイトが有るんじゃない?
        去年にクラウドフレアが落ちてネットゲームとかが使えなくなって困らなかった?

        • by Anonymous Coward on 2020年02月27日 19時14分 (#3769530)

          CloudFlareに諸々問題があることはともかく、一般論としてキレてる人の話は割り引く必要があると思う

          親コメント
        • by Anonymous Coward

          特に困った記憶はないけど、仮に困ったとして数十分のダウンタイムでここまで恨みを募らせたりはしないよ。ちょっと常軌を逸してる。

        • by Anonymous Coward

          困ってるんだったら相応の(もっとマシだと思うサービスに)金を払えってことでしょ。
          金ケチって落ちてキレて世話無いな。

        • by Anonymous Coward

          AWS東京リージョンの障害が夏にありましたが、そこでサービスが止まって困った(サービスの中の人としてではなく)からといってAmazonやAWSを避けた人がどの程度いたか?というのも興味ありますね。

          • by Anonymous Coward

            > AWS東京リージョンの障害が夏に
            ありゃリージョン分散できてないサボった会社が困っただけだよ
            うちはかけらも困らなかったのでそのままだよ

      • by Anonymous Coward

        嫌だったらSimple DNSCrypt入れて自分の好きな所を選択すれば良いと思うけど。
        クライアントで嫌なDNS発信をブロック出来るし、便利。

    • by Anonymous Coward

      Cloudflareのポリシーかわからんけど、
      確か一部のサイトの名前解決をブロックしたりもしてたはず。
      8chか何かだったかな。

  • by Anonymous Coward on 2020年02月27日 18時03分 (#3769480)

    早速業務用ファイアウォールで盗聴して楽しめないので困るとか言ってる奴が観測されて草

    • by Anonymous Coward

      企業内だと他社への攻撃に加担したり情報を漏洩したりするリスクを防ぐため、
      特定のサイトへのSSL接続を一律禁止していたりします。

      企業側から見るとこれは「監査」ですので、「セキュリティが下がる」というのは
      必ずしも間違いでは無いものと思います。

      • by Anonymous Coward

        スラドはセキュリティが下がるサイトではないらしいので、優秀なフィルタですこと。

      • by Anonymous Coward

        それでプロキシが偽証明書食って気付かないってオチだよな、知ってる

      • by Anonymous Coward

        ペアレンタルコントロールも困るだろうな。
        もしこれが原因で児童が犯罪に巻き込まれたらMozillaへの風当たりが強くなりそう。

        • by Anonymous Coward on 2020年02月28日 7時47分 (#3769727)

          まずDNSが自由に選択できるペアレンタルコントロールはガバガバじゃん。窃視盗聴以前の問題。

          親コメント
        • by Anonymous Coward

          ペアレンタルコントロールDNSを販売します!
          親御さんが望まない名前解決を一切ブロックします。
          ブラックリストでもホワイトリストでも運用可能です!

          hostsにしとけば。

          • by Anonymous Coward

            普通にコンテンツフィルタ搭載の透過Proxyで制御しろ
            ホームユーザー向けならEthernetポート2口のPCがあればソフト側は無料のコンテンツフィルタ搭載のファイアウォールをSophosが出してる
            もっと簡単な奴なら確かトレンドマイクロも出してたはずでっせ

            • by Anonymous Coward

              暗号化された通信もちゃんとフィルタリングできるならそれでいいね。ネタにマジレス。

    • by Anonymous Coward

      まあ、楽しいかは別として、どこにアクセスしていたか身の証を立てられないということは、調査名目でPCの中身を調べる口実とされても仕方ないということにもならないだろうか。

      • by Anonymous Coward

        業務用PCなら見られて揉めるのは秘密鍵くらいじゃね? 大抵そういう調査ツールは侵入経路にもなるが

      • by Anonymous Coward

        どこにアクセスしてたかはIPアドレスでわかるでしょ。

        そのうちセッションごとに接続先の内容が変わる時代が来るかもしれないけど。100万人のユーザーがひとつずつアドレスを持ってて、サービス提供側が100万個のアドレスを持つような感じで順次切り替えていけば……

    • by Anonymous Coward

      業務用ファイアウォールがあるようならプロキシも用意できるんでは。

  • by Anonymous Coward on 2020年02月27日 18時27分 (#3769495)

    しばらく前には「全てがWebになる」いや「全てがHTTPになる」だ、とか言われたこともあるが、今や「全てがHTTPSになる」だな。
    次はどうなる…「全てが443/UDPになる」か?

    • by Anonymous Coward

      HTTP/3 は UDP の上に乗っかってるんじゃなかったっけ?

      • by Anonymous Coward

        TCPとUDPでNAPTのやり方が変わるのでこのままIPv4主流が続いたとしたらポート不足で繋がらなくなる環境もありそう。
        v6プラスとかモロに影響するんじゃなかろうか。

  • by Anonymous Coward on 2020年02月27日 18時46分 (#3769508)

    一般的なDNS
    PC~プロバイダのDNSサーバ間を暗号化せずに問い合わせ

    こんどのDNS
    PC~CloudflairのDNSサーバ間を暗号化して問い合わせ

    Cloudflairがログを採らないって信じるかどうかで、
    どっちが安全かがかわってくる

    • Cloudflairってどこのパチモン企業?

    • by Anonymous Coward

      リスク面だと

      一般的なDNS
      ・プロバイダがログとってないか不明
      ・プロバイダまでの間で盗聴可能

      こんどのDNS
      ・Cloudflareがログとってないか不明

      ってことで、少なくともリスクを1つ潰せる。
      スマホの方も適用するのかわからないけど、携帯回線や公衆WiFiなどでも暗号化DNS使ってくれる方が安全なのは間違いない。

    • by Anonymous Coward

      FirefoxのDoHの既定はCloudflareですが、NextDNSに変更したり、URLを指定することもできます。
      これは、ストーリーからリンクされている記事にも書かれています。

  • by Anonymous Coward on 2020年02月27日 21時14分 (#3769576)

    hosts辺りでhttps-dnsサーバを登録しとけば
    ログインせずともweb閲覧自由自在ってことか?
    そうfirefoxならね

  • by Anonymous Coward on 2020年02月28日 1時39分 (#3769684)

    https(http over ssl) は筋が良いと思えない。

    ssl の上に http を乗せ、さらに上に dns を乗せるって事になるなんてね。
    ftp など ssl に乗っかる他のプロトコル(ftps や sftp)と
    合わせる方がよりシンプルで筋が良いと思う。

    google なんかが DNS 情報を得る(それで商売する)ために推進している様にしか見えない。

    • by Anonymous Coward

      googleがhttpsから抜けるならftpsでもなんでも抜けるやろ
      WEB企業だからhttpが得意のはずとかそんなレベルの話なん?

    • by Anonymous Coward

      筋の良し悪しはともかく、http(https含む)に載せるところに価値がある。

      そもそもは80と443以外の通信を全遮断する「セキュリティの誤った常識」が元凶な気もするが、
      それによる「障害」も多くて苦情を受けるソフトウェアベンダとしては「障害対応」する必要があった。
      で、間にFWが居ようがプロキシが入ってようが突破できる唯一のプロトコルがhttpだった。

      そしていつしか経路上の邪魔者を突破するにはHTTPに載せてしまえって風潮が主流になってしまった。
      今やVPNも443使うのが王道。

      • by Anonymous Coward on 2020年02月28日 3時38分 (#3769698)

        勝手に補足すると、DoHは政府やISPの検閲回避のためでもあるので。
        443番ポートでもFTPSだとふるまい検知で止められてしまうおそれがある。
        しかしHTTPSなら通常のトラフィックとDNS問い合わせの見分けがつきにくい。
        政府やISPもまさかHTTPSを全部止めるわけにもいかない。
        現に金盾では散発的な443番ポート利用が可能(VPNのような長時間セッションは切断される)

        DNS over TLS(DoT)は853番ポート利用が必須扱いなので、政府やISPにポート遮断されたら終わり。
        だから推進するならDNS over HTTPSしかありえない。

        親コメント
        • by Anonymous Coward

          DNSのトラフィックはレスポンスの量がかなり少ないことなど、通常のHTTPSとは振る舞い上かなり違いがあるのではないだろうか。金盾レベルが本気になったら厳しいと思うのだが。

          • by Anonymous Coward

            データの量が少ない通信はいっぱいありそうだけどね。各々がビーコン飛ばしまくってるだろうし。

          • by Anonymous Coward
            少ないのは増やせばいいんじゃね
            DNSパケットってケツにゴミついてても問題ないからGoogleのトップページのコピーでも貼り付けとけばいい
      • by Anonymous Coward

        目的が悪徳政府の検閲だとか、善なる大企業の監査だとか関係なく、
        エンドツーエンドの暗号化トンネルが損なわれるのは「障害」で、
        当然常に「障害対応」として排除されるべき対象ってことか

  • by Anonymous Coward on 2020年02月28日 10時45分 (#3769838)

    まあメリットかな

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...