アカウント名:
パスワード:
そもそもWebにおけるセキュリティがかなり不確かな多数の仮定とバッドノウハウの上になんとか成り立っていて、こういった「想定外」の仕様変更に脆弱であるというのが今回の問題の本質でしょう。JPRSの考慮不足を責めるのは簡単だけど、そろそろWeb自体のセキュリティのフレームワークをどうにかするのが生産的だと思いますけどね。
そうだよね、これ見方よっては、これはドメイン名空間の構造に独自の仮定を入れてcookiesの扱いを決めてるブラウザの不具合だよね。MozillaやGoogleに『おたくのブラウザ、DNS運用の実情と合わなくなったので実装変えたほうがいいっすよ』と言うならともかく、規格も法令を一切違反していない一レジストリを公開質問状まで出して非難するなんて、わけがわからないよ、というのがDNS屋の感想……なんだけど、Web屋からすればJPRSが十分な調査せずに勝手なことしたから現にセキュリティリスクと不具合が生じたじゃないか、なんだろうな。どっちの言い分もあると思う。
インターネットの精神(?)って、ルールがない(違反じゃない)なら、やっていい!ものではなく、他に迷惑かけるようなら一歩引く遠慮深さ、だと思う。SPAM だって、送りたいメールを送ってるだけです、て言われて御意、って納得する?
迷惑かけたって話なら、どっちもどっちじゃね?JPRSの考慮不足で不具合という側面もあれば、Webブラウザベンダがクッキーモンスターバグへのあまりにも適当な対策としてPublic Suffix Listというリストを(当初よりDNS屋から強い反対があったにもかかわらず)普及させてくれたせいでドメイン名空間に理不尽な制約を与えているという側面もある。高木先生はいつもの癖で特定の誰かを非難するんだけど(そのほうがウケるしね)、私はそうじゃないと思います。
> 当初よりDNS屋から強い反対があったにもかかわらず
そんな事実はないですね。嘘はいかん。
誰がDNS屋かというのはあるけど、Mozilla が IETF dnsop MLにPSLのアナウンスした時は非難轟々だった、って力武先生が言ってた。 [dnsops.jp]
オリジナルの英語ソースは?
http://www.ietf.org/mail-archive/web/dnsop/current/msg06100.html [ietf.org]
非難囂々かどうかは、自分で確認して元の人と戦ってくれオレは探すだけの係だから
横だけど、チラ見した感想・提案して2時間で「"手動集中管理"で"ハードコード"とか馬鹿なの死ぬの」と指摘されているにも関わらず強行し、案の定指摘された通りのことが起こっているわけでザマァ・この議論押し切ってmozillaが「ちゃんとやります」とほざいた以上、DNS屋はgTLD追加したら粛々とmozillaに通知すれば十二分以上の責任は果たしているわけで、そこからそれをどうやってブラウザにきちんと反映させるのかはWeb屋の責任。お前らが出来ると言ったからそういう仕様なんだぜ?だと思った。
Web屋はJPRSをdisる前に、場当たりでスケーラビリティのない馬鹿な仕様を盛り込んだブラウザを既に配っちゃって引き返せない状態にしちゃてごめんなさいって言うのが先。これが1978年だの1988年だのの話なら仕方ないにゃーで済むかもしれんが2008年に作った仕様とか同情の余地がねえよ。
で、JPRSはどんなリストをmozillaに通知するの?w
(はじめからそういう話だと気づけよw)
JPRSはmozillaにメールで一言「こんなsuffix作ったから後ヨロ」って言うだけだよ。これは簡単だしやるだろう。どんなリストってそのまんま新しく新設した都道府県別ドメインはこれですって渡すだけ。この先はmozillaがリストを作ってなんかしらんが頑張って世界中のブラウザに反映させる。分散型ではなく集中型の管理を主張し、俺がちゃんと管理しますとmozillaが押し切ったんだから、そういうルールになっているし筋論としてもそうなる。これに対して、高木氏はその更新と反映をどうやってやるのかと「JPRSに」質問状出してるわけだけど、それをJPRSに聞くのは筋違いじゃんって話。だってそんなのDNS屋の知ったことかよ。「おいおいこんな保守方法でメンテできるわけねーだろ」「mozillaが気合でやります」「ふーん、じゃあがんばってね」というやり取りは3年前に過ぎてる。ちゃんと配れないならごめんなさいするのはmozilla。その上で、Public Suffix Listの場当たり的なクソ仕様のせいで致命的に拡張性が失われてしまった問題に対して、諦めて「suffixはまともに増やせない」という現実をみんなで受け入れるのか、Public Suffix Listなんてまだ3年しかやってないんだから今なら捨てられると考えて今すぐ捨てて新しい仕様を作るのか、その辺は別の話だがとりあえず前者をチョイスして欲しいならまずPublic Suffix List支持派は土下座しろ。
論旨には同意するけど、いちおう補足。
>どんなリストってそのまんま新しく新設した都道府県別ドメインはこれですって渡すだけ。
これは違います。これまでの地域型 JP ドメインは chiyoda.tokyo.jp のような形式だったので、xxx.tokyo.jp なら public suffix だよ、というのがすでに47都道府県分入ってます。
都道府県 JP 導入後は、chiyoda.tokyo.jp は public だけど example.tokyo.jp は public じゃないよ、というのを区別する必要が出てきます。つまり、publix suffix list に追加する必要があるのは都道府県ドメイン47個ではなく、地域型で使われていた日本の全市区町村ドメイン数千個です。
高木氏が問題視してるのは追加すべき数があまりに多いことなんじゃないかと思いますが、まあ、そんなの知ったことじゃないですね。そんな仕様を作ってしまった方が悪い。
補足の補足。
"public suffix list" としては数千行増えることになりますが、"public suffix" として増えるのは47個だけです。これまでリスト1行で複数の市区町村をワイルドカード指定していたのが、ワイルドカードではなく明示的に1個ずつ指定しなければいけなくなったということ。
まあ現行の*.[県名].jpをpublic suffixであるとして扱うということ自体が既に無理矢理臭かったわけですし、初期から「管理単位とレベルの深さは一致してないよ。テーブル爆発すんじゃね」という指摘はされていたわけですから、自業自得としか言いようがないですねぇ。JPRSは粛々と数千行からなるsuffix listを送りつけてやればいいんじゃないでしょうか。それで「この仕様ダメだわ」と見直す契機になるなら良いことだと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
JPRSの考慮不足を責めるのは簡単だけど (スコア:0)
そもそもWebにおけるセキュリティがかなり不確かな多数の仮定とバッドノウハウの上になんとか成り立っていて、こういった「想定外」の仕様変更に脆弱であるというのが今回の問題の本質でしょう。JPRSの考慮不足を責めるのは簡単だけど、そろそろWeb自体のセキュリティのフレームワークをどうにかするのが生産的だと思いますけどね。
Re: (スコア:2, 興味深い)
そうだよね、これ見方よっては、これはドメイン名空間の構造に独自の仮定を入れてcookiesの扱いを決めてるブラウザの不具合だよね。MozillaやGoogleに『おたくのブラウザ、DNS運用の実情と合わなくなったので実装変えたほうがいいっすよ』と言うならともかく、規格も法令を一切違反していない一レジストリを公開質問状まで出して非難するなんて、わけがわからないよ、というのがDNS屋の感想……なんだけど、Web屋からすればJPRSが十分な調査せずに勝手なことしたから現にセキュリティリスクと不具合が生じたじゃないか、なんだろうな。どっちの言い分もあると思う。
Re: (スコア:1)
インターネットの精神(?)って、ルールがない(違反じゃない)なら、やっていい!
ものではなく、他に迷惑かけるようなら一歩引く遠慮深さ、だと思う。
SPAM だって、送りたいメールを送ってるだけです、て言われて御意、って納得する?
Re: (スコア:0)
迷惑かけたって話なら、どっちもどっちじゃね?
JPRSの考慮不足で不具合という側面もあれば、Webブラウザベンダがクッキーモンスターバグへのあまりにも適当な対策としてPublic Suffix Listというリストを(当初よりDNS屋から強い反対があったにもかかわらず)普及させてくれたせいでドメイン名空間に理不尽な制約を与えているという側面もある。
高木先生はいつもの癖で特定の誰かを非難するんだけど(そのほうがウケるしね)、私はそうじゃないと思います。
Re: (スコア:0)
> 当初よりDNS屋から強い反対があったにもかかわらず
そんな事実はないですね。嘘はいかん。
Re:JPRSの考慮不足を責めるのは簡単だけど (スコア:1)
誰がDNS屋かというのはあるけど、Mozilla が IETF dnsop MLにPSLのアナウンスした時は非難轟々だった、って力武先生が言ってた。 [dnsops.jp]
Re: (スコア:0)
オリジナルの英語ソースは?
Re:JPRSの考慮不足を責めるのは簡単だけど (スコア:1)
http://www.ietf.org/mail-archive/web/dnsop/current/msg06100.html [ietf.org]
非難囂々かどうかは、自分で確認して元の人と戦ってくれ
オレは探すだけの係だから
Re:JPRSの考慮不足を責めるのは簡単だけど (スコア:1)
横だけど、チラ見した感想
・提案して2時間で「"手動集中管理"で"ハードコード"とか馬鹿なの死ぬの」と指摘されているにも関わらず強行し、案の定指摘された通りのことが起こっているわけでザマァ
・この議論押し切ってmozillaが「ちゃんとやります」とほざいた以上、DNS屋はgTLD追加したら粛々とmozillaに通知すれば十二分以上の責任は果たしているわけで、そこからそれをどうやってブラウザにきちんと反映させるのかはWeb屋の責任。お前らが出来ると言ったからそういう仕様なんだぜ?
だと思った。
Web屋はJPRSをdisる前に、場当たりでスケーラビリティのない馬鹿な仕様を盛り込んだブラウザを既に配っちゃって引き返せない状態にしちゃてごめんなさいって言うのが先。
これが1978年だの1988年だのの話なら仕方ないにゃーで済むかもしれんが2008年に作った仕様とか同情の余地がねえよ。
Re: (スコア:0)
で、JPRSはどんなリストをmozillaに通知するの?w
(はじめからそういう話だと気づけよw)
Re:JPRSの考慮不足を責めるのは簡単だけど (スコア:1)
JPRSはmozillaにメールで一言「こんなsuffix作ったから後ヨロ」って言うだけだよ。これは簡単だしやるだろう。どんなリストってそのまんま新しく新設した都道府県別ドメインはこれですって渡すだけ。
この先はmozillaがリストを作ってなんかしらんが頑張って世界中のブラウザに反映させる。分散型ではなく集中型の管理を主張し、俺がちゃんと管理しますとmozillaが押し切ったんだから、そういうルールになっているし筋論としてもそうなる。
これに対して、高木氏はその更新と反映をどうやってやるのかと「JPRSに」質問状出してるわけだけど、それをJPRSに聞くのは筋違いじゃんって話。だってそんなのDNS屋の知ったことかよ。「おいおいこんな保守方法でメンテできるわけねーだろ」「mozillaが気合でやります」「ふーん、じゃあがんばってね」というやり取りは3年前に過ぎてる。ちゃんと配れないならごめんなさいするのはmozilla。
その上で、Public Suffix Listの場当たり的なクソ仕様のせいで致命的に拡張性が失われてしまった問題に対して、諦めて「suffixはまともに増やせない」という現実をみんなで受け入れるのか、Public Suffix Listなんてまだ3年しかやってないんだから今なら捨てられると考えて今すぐ捨てて新しい仕様を作るのか、その辺は別の話だがとりあえず前者をチョイスして欲しいならまずPublic Suffix List支持派は土下座しろ。
Re: (スコア:0)
論旨には同意するけど、いちおう補足。
>どんなリストってそのまんま新しく新設した都道府県別ドメインはこれですって渡すだけ。
これは違います。これまでの地域型 JP ドメインは chiyoda.tokyo.jp のような
形式だったので、xxx.tokyo.jp なら public suffix だよ、というのがすでに
47都道府県分入ってます。
都道府県 JP 導入後は、chiyoda.tokyo.jp は public だけど example.tokyo.jp は public じゃないよ、
というのを区別する必要が出てきます。
つまり、publix suffix list に追加する必要があるのは都道府県ドメイン47個ではなく、
地域型で使われていた日本の全市区町村ドメイン数千個です。
高木氏が問題視してるのは追加すべき数があまりに多いことなんじゃないかと思いますが、
まあ、そんなの知ったことじゃないですね。そんな仕様を作ってしまった方が悪い。
Re: (スコア:0)
補足の補足。
"public suffix list" としては数千行増えることになりますが、
"public suffix" として増えるのは47個だけです。
これまでリスト1行で複数の市区町村をワイルドカード指定していたのが、
ワイルドカードではなく明示的に1個ずつ指定しなければいけなくなったということ。
Re: (スコア:0)
まあ現行の*.[県名].jpをpublic suffixであるとして扱うということ自体が既に無理矢理臭かったわけですし、
初期から「管理単位とレベルの深さは一致してないよ。テーブル爆発すんじゃね」という指摘はされていたわけですから、
自業自得としか言いようがないですねぇ。
JPRSは粛々と数千行からなるsuffix listを送りつけてやればいいんじゃないでしょうか。
それで「この仕様ダメだわ」と見直す契機になるなら良いことだと思います。