アカウント名:
パスワード:
そもそもWebにおけるセキュリティがかなり不確かな多数の仮定とバッドノウハウの上になんとか成り立っていて、こういった「想定外」の仕様変更に脆弱であるというのが今回の問題の本質でしょう。JPRSの考慮不足を責めるのは簡単だけど、そろそろWeb自体のセキュリティのフレームワークをどうにかするのが生産的だと思いますけどね。
そうだよね、これ見方よっては、これはドメイン名空間の構造に独自の仮定を入れてcookiesの扱いを決めてるブラウザの不具合だよね。MozillaやGoogleに『おたくのブラウザ、DNS運用の実情と合わなくなったので実装変えたほうがいいっすよ』と言うならともかく、規格も法令を一切違反していない一レジストリを公開質問状まで出して非難するなんて、わけがわからないよ、というのがDNS屋の感想……なんだけど、Web屋からすればJPRSが十分な調査せずに勝手なことしたから現にセキュリティリスクと不具合が生じたじゃないか、なんだろうな。どっちの言い分もあると思う。
ドメイン名の構造に独自の仮定を入れて、といっても、今までのJPドメインの運用規定では通用したものだから、100%独自と言い切れないわけです。もちろん、今の規定が永遠に続くという保証はないのだけど、JPRSという公の組織が一旦は宣言したものだし、それを前提としたアプリや設定が存在してもおかしくないから、JPRSお前らそのリスクの検討は少しはしたのかという指摘は間違いではないと思いますね。
明確に不具合やセキュリティリスクだと言えるのはすでに広く指摘されている public suffix list による cookie monster問題だけど、それ以外の懸念
> 今までのJPドメインの運用規定では通用したものだから、100%独自と言い切れないわけです今回最大の問題になっているのは「JPドメインの運用規定が永久に変更されない」という「独自の仮定」なので、100%独自です。そもそも変更を動的に反映させるためにDNSというシステムがあるわけですから、「永久に続くという保証はない」どころではなく「動的にしょっちゅう変わることが大前提」です。汎用JPドメインの導入時に同じようなことを一度やっているんですよ。
今の運用ルールが続くことを前提としてはいけないというのは大前提ですので、それを決め打ったアプリや設定は「DNSをろくに知らない大馬鹿の作ったもの」でありJPRSからすれば知ったこっちゃない話です。まあ大馬鹿がいる前提で配慮してあげても良かったんじゃないのと言う分にはいいですが、第一義的には少なくともJPRSが「悪い」わけではないでしょう。
> その設定を作ったやつが悪いと言い切るのは簡単ですが。
その設定を作ったやつが悪いです。言い切ってください。まずそこ原点ですよ。また、まっとうなアプリであればそのような決め打ちは推奨されていないはずです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
JPRSの考慮不足を責めるのは簡単だけど (スコア:0)
そもそもWebにおけるセキュリティがかなり不確かな多数の仮定とバッドノウハウの上になんとか成り立っていて、こういった「想定外」の仕様変更に脆弱であるというのが今回の問題の本質でしょう。JPRSの考慮不足を責めるのは簡単だけど、そろそろWeb自体のセキュリティのフレームワークをどうにかするのが生産的だと思いますけどね。
Re: (スコア:2, 興味深い)
そうだよね、これ見方よっては、これはドメイン名空間の構造に独自の仮定を入れてcookiesの扱いを決めてるブラウザの不具合だよね。MozillaやGoogleに『おたくのブラウザ、DNS運用の実情と合わなくなったので実装変えたほうがいいっすよ』と言うならともかく、規格も法令を一切違反していない一レジストリを公開質問状まで出して非難するなんて、わけがわからないよ、というのがDNS屋の感想……なんだけど、Web屋からすればJPRSが十分な調査せずに勝手なことしたから現にセキュリティリスクと不具合が生じたじゃないか、なんだろうな。どっちの言い分もあると思う。
Re: (スコア:0)
ドメイン名の構造に独自の仮定を入れて、といっても、今までのJPドメインの運用規定では通用したものだから、100%独自と言い切れないわけです。もちろん、今の規定が永遠に続くという保証はないのだけど、JPRSという公の組織が一旦は宣言したものだし、それを前提としたアプリや設定が存在してもおかしくないから、JPRSお前らそのリスクの検討は少しはしたのかという指摘は間違いではないと思いますね。
明確に不具合やセキュリティリスクだと言えるのはすでに広く指摘されている public suffix list による cookie monster問題だけど、それ以外の懸念
Re:JPRSの考慮不足を責めるのは簡単だけど (スコア:0)
> 今までのJPドメインの運用規定では通用したものだから、100%独自と言い切れないわけです
今回最大の問題になっているのは「JPドメインの運用規定が永久に変更されない」という「独自の仮定」なので、100%独自です。
そもそも変更を動的に反映させるためにDNSというシステムがあるわけですから、「永久に続くという保証はない」どころではなく「動的にしょっちゅう変わることが大前提」です。
汎用JPドメインの導入時に同じようなことを一度やっているんですよ。
今の運用ルールが続くことを前提としてはいけないというのは大前提ですので、それを決め打ったアプリや設定は「DNSをろくに知らない大馬鹿の作ったもの」でありJPRSからすれば知ったこっちゃない話です。
まあ大馬鹿がいる前提で配慮してあげても良かったんじゃないのと言う分にはいいですが、第一義的には少なくともJPRSが「悪い」わけではないでしょう。
> その設定を作ったやつが悪いと言い切るのは簡単ですが。
その設定を作ったやつが悪いです。言い切ってください。まずそこ原点ですよ。また、まっとうなアプリであればそのような決め打ちは推奨されていないはずです。