アカウント名:
パスワード:
Firefoxが唯一のTrusted Recursive Resolverとして Cloudflare の Public DNS [1.1.1.1] を採用する理由は、
で、表向きは通信の自由も通信の秘密(プライバシー)も完全に保たれます。
ただ、所詮アメリカの営利企業なので、NSAに密かに協力し、もしくは圧力をかけられて、情報を垂れ流す可能性が無いとはいえません。世界中の名前解決を、アメリカの1企業(とバックにいるNSA)に支配されるというのは危険極まりないのです。
こう書くとFUDに思えるかもしれませんが、NSAが民間企業から不法に情報をスパイしていた前科は公になっているだけで過去に数えられないほどあります。
TLSを使っていれば大丈夫、というのもNSA対策としては誤りです例えばLet's Encrypt等のアメリカのCAの証明書を使っていたとして、NSAが認証局の中の人に裏金を払ったり脅したりして偽証明書を発行させるかもしれませんログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません
なので、少なくとも使用するDNSサーバと、TLS証明書の認証局の国ぐらいは、ばらけている方が良いでしょう。両方アメリカというのは危険すぎです。
> ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません
これの対応としてGoogle Chromeは、2018/04/30以降に発行された証明書で、SCTが埋め込まれていない証明書を信頼しないようになりました。LEもすでに埋め込んでます。※正確にはTLS拡張やOCSP Staplingで配布してもいいらしいが、対応サーバがあまりないのでふつうは埋込で対応している。
https://jp.globalsign.com/blog/2018/certificate_transparency2018.html [globalsign.com]今のところGoogle ChromeのみCTポリシーに準拠していない場合に警告出しているっぽいですね
でもFireFoxはct対応してないよね
そうなのか。勉強になった。結構影響大きそうだったのにあまり騒がれなかったのは何故だろう。
>ただ、所詮アメリカの営利企業なので、
Mozilla Foundation は営利企業ではなくて、非営利団体ですね。
分かりにくくてすみません「所詮アメリカの営利企業なので」はMozillaじゃなくてCloudflareについてです
了解しました。
今のSSLはどっかの認証局が不正をしたら如何なるサイトの偽証明書も作れちゃうから根本からして駄目だね
例えば、jpドメインならJPRSサーバー証明書 [jprs.jp]しか認めない、のような仕組みにすべき証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する
競争原理が働かないと、GPKIみたいな杜撰な認証局がその辺にごろごろあふれることになる。加えて、国単位で一つしか認証局がなかったら、スパイ組織にとっても攻撃対象が絞れるので有利。
一方、現状の仕組みであっても、証明書はルート証明書も含めrevokeすることができる。競争のある環境の方がまし。
いや、この件こそ、オープンで幅広く使われている証明書ストアをMozillaが独占して、競争がない状況だから起きた話じゃんか。あぐらをかいて自分を神か何かと勘違いしたMozillaの一部の人が、国際的に認められた厳重な実地監査に合格している事を無視して、テキストだけで判断した話。
そして、Mozillaを神だと信仰している輩が、一方的にGPKIが悪いと煽ったおかげで、ネットにおかしな結論が出ているが、まさに独占状態が生み出した悲劇だよ。そして、今回の件も、Mozillaの一部の人が、自分の神だと判断して、信頼できないDNSを信頼できると勝手に決めて混乱に陥れようとしている。さらにMozillaを神だと信頼している人が追認しようとしてるのがおかしな話。
同根の問題だよ。
宗教なら自分らだけでやって欲しいんだ。Mozillaはシェアを落として現実路線に行くかと思ったら、優秀な人間がみんな逃げた結果、先鋭化しすぎている。おかしな状態。
証明書ストアなんて誰でも作れますけど。文句があるならユルユル審査の証明書ストア作ったら良いのでは。誰がそれを信用するのか知りませんけど。
国際的に認められた厳重な実地監査に合格している事を無視して、テキストだけで判断した話。
いや、それはちょっと違う。無視はしてない(と俺は思っている)。
逆の状況、形式的な規則の策定と実施は問題ない一方、実地監査に不合格という状況を仮定しよう。きっとその場合もMozillaは却下したに違いない。監査は無意味ではない。却下理由がそこではなかったというだけ。この結果が良かったとは思っていないけどさ。
その点で言えば、今回はまだマシじゃないか。直接影響を受けるのは、シェアを落としつつあるFirefoxユーザーだけ。
証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する
認証局、特にデジサートあたりを悪の組織と思っていませんか?また仮に国別に認証局を一つしか認めない、とした場合、その一つの認証局がミスや障害を含めた不正な証明書を発行して発覚した場合、最悪証明書を適用しているJPドメインすべてがrebokeされて目も当てられない状態になるのでは、と思ってしまいます。
WEBだけならともかく、メールやクライアント証明書、アプリで必要な場合等、最悪のパターンを想定すると悪夢にしかならない気が……
もしDigiNotar(オランダ)やWoSign(中国)しかなかったら該当国は目も当てられない状態まで行き着くでしょうねw
FIREFOXの話なのに> 世界中の名前解決をなんでこんなおおげさに騒ぐの?
Firefoxの利用者は世界中に居るので、「世界中の名前解決」という表現は間違っていないと思うが。日本語勉強されては如何?
世界中の名前解決なんて言われると、まあブラウザのそれは一大領域なんだけど、apt-get的なやつとかwebサービス間のAPI連携とかいろいろな時にアクセスがある気がして、Firefoxの仕様の話で世界中がどうこうと表現するのは違う気がする。
どうしてそんな思い込みをしちゃったんですか?平和ボケの最たるもんだなこりゃ
NTTがやろうとしたことをもう忘れたのですか?痴呆症だなこりゃ
やろうとしただけでやらなかったよね
それに仮にISPのDNS鯖がブロッキング始めたらルータやOSの設定で別のDNS鯖指定すればいいだけだけどブラウザがCloudflareをハードコーディングしたら万が一Cloudflareがブロッキングを始めたときの逃げ道が全くない
オープンソースだからソースコードを自分で弄ってビルドすればいいとでもいうのか?ブラウザのソースコードは膨大な容量なので一般人が持ってるノートPCでは現実的な時間でビルドすることすらできん
つまり「日本政府は犯罪防止の目的でボクの自由を妨げる(※妄想)ので、アメリカの方が信頼できる(※アメリカ含む主要国ではとっくにブロッキングは実施中)」ってことですか?
平和ボケどころの話じゃ無かったなこりゃ
※アメリカ含む主要国ではとっくにブロッキングは実施中
なんでそういう嘘吐くの?せめて、Wikipedia ブロッキング_(インターネット)#アメリカ [wikipedia.org] ぐらいは読んでこい
「アメリカはサイトブロッキングは導入されておらず」(Wikipediaより引用)
ただしソースはWikipediaもいいとこ。丸ごと間違い。
2004年にある州がblockingを合法化する州法を作り、それが連邦法に違反するかどうか争われて、最終的には合法の判決が出ている。 その後、実質的に全てのプロバイダがblockingを実施している。
Wikipediaのソースがない記述を盲信して他人を嘘つき呼ばわりする前に、サクッとググるくらいした方がいい
2004年とはずいぶん古い話だな
2013年の財団法人 社会安全研究財団の報告書「G8 諸国における児童ポルノ対策に関する調査」p.4 https://www.syaanken.or.jp/wp-content/uploads/2013/03/cyber2503_01.pdf [syaanken.or.jp]
(ウ) 通信事業者に関する規制 アメリカにおいては、児童ポルノについて、インターネット上でのブロッキングを要求する法律は存在しない。 ただし、第 2258A 条において、電気通信サービス(electronic communication service)、若しくはリモートコンピューティングサービス(remote computing service)を提供しているプロバイダに対して児童ポル
その報告書のp.17
> (ウ)ブロッキング> アメリカでは前述したように、ブロッキングに関する法律はない。> 従来、ISP に対してヒアリングを行っても、アメリカではブロッキングが実施されてい> ないという回答が返ってきていた23。URL リストを作成している NCMEC に対してヒア> リングを行った際にも、ISP がブロッキングを行っているかは把握していないという回答> であった24。しかし今回の調査によって、大手の ISP のすべてにおいてブロッキングが実> 施されていることが判明した。特に ISP が宣伝をしているわけではないため、実施され> ていないように見えるとのことである。25
ブロッキングしている事実を隠しているけど、実はブロッキングしているのがアメリカ(笑)アメリカのいう事なんて信用できんわ
実質的に全てのプロバイダがblockingを実施している。
これも間違い。blockingは民間主導の取り組みで、ユーザーカバー率で言えば、95%ぐらい。
NTTにブロッキング指示しといて、プロバイダが自主的にやったと、はしごを外す日本政府と手口が全く一緒だなw
> ※アメリカ含む主要国ではとっくにブロッキングは実施
はいいとして、クラウドフレアのDNSはブロッキングしてるの?
そこが本件の本質なのではっきりさせて欲しいな誰かクラウドフレアにメールで問い合わせてくれないかな
つ 言い出しっぺの法則
NTTどころか日本の全ISPは既に児童ポルノブロッキングしてるよね児童ポルノに世界一厳しいアメリカでさえ、児童ポルノブロッキングなんてやってないのだから日本はやる必要無かった
既にブロッキングしている事実がある以上、日本のISPのDNSサーバは信用できないので、DNS over HTTPSを強要するのは当然だよ
>児童ポルノに世界一厳しいアメリカでさえ、児童ポルノブロッキングなんてやってない
は?早い州では2004年からやってるが
適当にデマを流すなよ。
ブロッキングしてない派もブロッキングしてる派も両方ともデマ流すな現状されてるけどISPが勝手にやってるという名目だから「州」は関係ないし「州」ごとにブロッキングの有無が異なるわけじゃない児童ポルノブロッキングを強制するアメリカ法は無いしやってないISPもある
補足ブロッキングの合法性についての争いは主に憲法修正1条、修正4条が争点になってるから州法は関係ないぞちなみにほぼブロッキングをしているISP側が勝訴してる≒ブロッキングが合憲とされてる
自分の調べが足りないのを「デマ」って言うのはどうかと思うが
児童ポルノなど問題のあるサイトをブロックする動きが出たがうとしたが、現行法そのままでは違法と言われる可能性があったので、州法が作られたという経緯。 その州法をきっかけにそれが連邦法で問題が
日本の政府・警察がどれだけIT方面で無能なのか分かってるんだろうか先進国でほぼ唯一日本にはまともな諜報機関も無いし民間からスパイするだけのスキルも無い
日本政府のスパイから逃れて安全な通信を行いたければTor Browserを使うだけですむよ(笑)日本の警察や政府にはTorの通信を解読する能力などないからねTorを使った犯罪が京都府警に検挙されたケースもあったがあれはTor以外の別ルートから犯人を絞り込んだのだろう
一方アメリカ様のスパイからは逃れられないWindowsにもTor Browserにも米諜報機関のバックドアが大量に仕込まれているといっても良いだろうOSもブラウザも毎月のように大量の「脆弱性」が発覚してパッチが提供されているが、その内1割ぐらいは諜報機関が意図的に仕込んだバックドアでまだ未発見のバックドア(未知の脆弱性)が沢山残っているかもしれない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
表向きは完全に安全だが、NSAに全世界の情報が奪われる恐れあり (スコア:1)
Firefoxが唯一のTrusted Recursive Resolverとして Cloudflare の Public DNS [1.1.1.1] を採用する理由は、
で、表向きは通信の自由も通信の秘密(プライバシー)も完全に保たれます。
ただ、所詮アメリカの営利企業なので、NSAに密かに協力し、もしくは圧力をかけられて、情報を垂れ流す可能性が無いとはいえません。
世界中の名前解決を、アメリカの1企業(とバックにいるNSA)に支配されるというのは危険極まりないのです。
こう書くとFUDに思えるかもしれませんが、NSAが民間企業から不法に情報をスパイしていた前科は公になっているだけで過去に数えられないほどあります。
TLSを使っていれば大丈夫、というのもNSA対策としては誤りです
例えばLet's Encrypt等のアメリカのCAの証明書を使っていたとして、NSAが認証局の中の人に裏金を払ったり脅したりして偽証明書を発行させるかもしれません
ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません
なので、少なくとも使用するDNSサーバと、TLS証明書の認証局の国ぐらいは、ばらけている方が良いでしょう。
両方アメリカというのは危険すぎです。
Re:表向きは完全に安全だが、NSAに全世界の情報が奪われる恐れあり (スコア:1)
> ログサーバ(Certificate Transparency)への記録についても認証局がその偽証明書発行記録をログサーバに登録しないようにすれば発覚しません
これの対応としてGoogle Chromeは、2018/04/30以降に発行された証明書で、SCTが埋め込まれていない証明書を信頼しないようになりました。LEもすでに埋め込んでます。
※正確にはTLS拡張やOCSP Staplingで配布してもいいらしいが、対応サーバがあまりないのでふつうは埋込で対応している。
Re: (スコア:0)
https://jp.globalsign.com/blog/2018/certificate_transparency2018.html [globalsign.com]
今のところGoogle ChromeのみCTポリシーに準拠していない場合に警告出しているっぽいですね
Re: (スコア:0)
でもFireFoxはct対応してないよね
Re: (スコア:0)
そうなのか。勉強になった。
結構影響大きそうだったのにあまり騒がれなかったのは何故だろう。
Re: (スコア:0)
>ただ、所詮アメリカの営利企業なので、
Mozilla Foundation は営利企業ではなくて、非営利団体ですね。
Re: (スコア:0)
分かりにくくてすみません
「所詮アメリカの営利企業なので」はMozillaじゃなくてCloudflareについてです
Re:表向きは完全に安全だが、NSAに全世界の情報が奪われる恐れあり (スコア:1)
了解しました。
国別にしろ (スコア:0)
今のSSLはどっかの認証局が不正をしたら如何なるサイトの偽証明書も作れちゃうから根本からして駄目だね
例えば、jpドメインならJPRSサーバー証明書 [jprs.jp]しか認めない、のような仕組みにすべき
証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する
Re:国別にしろ (スコア:2)
競争原理が働かないと、GPKIみたいな杜撰な認証局がその辺にごろごろあふれることになる。
加えて、国単位で一つしか認証局がなかったら、スパイ組織にとっても攻撃対象が絞れるので有利。
一方、現状の仕組みであっても、証明書はルート証明書も含めrevokeすることができる。
競争のある環境の方がまし。
Re: (スコア:0)
いや、この件こそ、オープンで幅広く使われている証明書ストアをMozillaが独占して、競争がない状況だから起きた話じゃんか。あぐらをかいて自分を神か何かと勘違いしたMozillaの一部の人が、国際的に認められた厳重な実地監査に合格している事を無視して、テキストだけで判断した話。
そして、Mozillaを神だと信仰している輩が、一方的にGPKIが悪いと煽ったおかげで、ネットにおかしな結論が出ているが、まさに独占状態が生み出した悲劇だよ。
そして、今回の件も、Mozillaの一部の人が、自分の神だと判断して、信頼できないDNSを信頼できると勝手に決めて混乱に陥れようとしている。さらにMozillaを神だと信頼している人が追認しようとしてるのがおかしな話。
同根の問題だよ。
宗教なら自分らだけでやって欲しいんだ。Mozillaはシェアを落として現実路線に行くかと思ったら、優秀な人間がみんな逃げた結果、先鋭化しすぎている。おかしな状態。
Re: (スコア:0)
証明書ストアなんて誰でも作れますけど。
文句があるならユルユル審査の証明書ストア作ったら良いのでは。
誰がそれを信用するのか知りませんけど。
Re: (スコア:0)
国際的に認められた厳重な実地監査に合格している事を無視して、テキストだけで判断した話。
いや、それはちょっと違う。無視はしてない(と俺は思っている)。
逆の状況、形式的な規則の策定と実施は問題ない一方、実地監査に不合格という状況を仮定しよう。きっとその場合もMozillaは却下したに違いない。監査は無意味ではない。却下理由がそこではなかったというだけ。この結果が良かったとは思っていないけどさ。
宗教なら自分らだけでやって欲しいんだ。Mozillaはシェアを落として現実路線に行くかと思ったら、優秀な人間がみんな逃げた結果、先鋭化しすぎている。おかしな状態。
その点で言えば、今回はまだマシじゃないか。直接影響を受けるのは、シェアを落としつつあるFirefoxユーザーだけ。
Re: (スコア:0)
認証局、特にデジサートあたりを悪の組織と思っていませんか?
また仮に国別に認証局を一つしか認めない、とした場合、その一つの認証局がミスや障害を含めた不正な証明書を発行して発覚した場合、最悪証明書を適用しているJPドメインすべてがrebokeされて目も当てられない状態になるのでは、と思ってしまいます。
WEBだけならともかく、メールやクライアント証明書、アプリで必要な場合等、最悪のパターンを想定すると悪夢にしかならない気が……
Re: (スコア:0)
もしDigiNotar(オランダ)やWoSign(中国)しかなかったら
該当国は目も当てられない状態まで行き着くでしょうねw
Re: (スコア:0)
FIREFOXの話なのに
> 世界中の名前解決を
なんでこんなおおげさに騒ぐの?
Re: (スコア:0)
Firefoxの利用者は世界中に居るので、「世界中の名前解決」という表現は間違っていないと思うが。
日本語勉強されては如何?
Re: (スコア:0)
世界中の名前解決なんて言われると、まあブラウザのそれは一大領域なんだけど、apt-get的なやつとかwebサービス間のAPI連携とかいろいろな時にアクセスがある気がして、Firefoxの仕様の話で世界中がどうこうと表現するのは違う気がする。
Re: (スコア:0)
どうしてそんな思い込みをしちゃったんですか?
平和ボケの最たるもんだなこりゃ
Re: (スコア:0)
NTTがやろうとしたことをもう忘れたのですか?
痴呆症だなこりゃ
ISPのDNSブロッキングは逃げ道がある (スコア:0)
やろうとしただけでやらなかったよね
それに仮にISPのDNS鯖がブロッキング始めたらルータやOSの設定で別のDNS鯖指定すればいいだけだけど
ブラウザがCloudflareをハードコーディングしたら万が一Cloudflareがブロッキングを始めたときの逃げ道が全くない
オープンソースだからソースコードを自分で弄ってビルドすればいいとでもいうのか?
ブラウザのソースコードは膨大な容量なので一般人が持ってるノートPCでは現実的な時間でビルドすることすらできん
Re: (スコア:0)
つまり「日本政府は犯罪防止の目的でボクの自由を妨げる(※妄想)ので、アメリカの方が信頼できる(※アメリカ含む主要国ではとっくにブロッキングは実施中)」ってことですか?
平和ボケどころの話じゃ無かったなこりゃ
アメリカはブロッキングしてません! (スコア:0)
※アメリカ含む主要国ではとっくにブロッキングは実施中
なんでそういう嘘吐くの?
せめて、Wikipedia ブロッキング_(インターネット)#アメリカ [wikipedia.org] ぐらいは読んでこい
「アメリカはサイトブロッキングは導入されておらず」(Wikipediaより引用)
Re: (スコア:0)
ただしソースはWikipediaもいいとこ。丸ごと間違い。
2004年にある州がblockingを合法化する州法を作り、それが連邦法に違反するかどうか争われて、最終的には合法の判決が出ている。 その後、実質的に全てのプロバイダがblockingを実施している。
Re: (スコア:0)
Wikipediaのソースがない記述を盲信して他人を嘘つき呼ばわりする前に、サクッとググるくらいした方がいい
Re: (スコア:0)
2004年とはずいぶん古い話だな
2013年の財団法人 社会安全研究財団の報告書「G8 諸国における児童ポルノ対策に関する調査」p.4
https://www.syaanken.or.jp/wp-content/uploads/2013/03/cyber2503_01.pdf [syaanken.or.jp]
(ウ) 通信事業者に関する規制
アメリカにおいては、児童ポルノについて、インターネット上でのブロッキングを要
求する法律は存在しない。
ただし、第 2258A 条において、電気通信サービス(electronic communication service)、
若しくはリモートコンピューティングサービス(remote computing service)を提供して
いるプロバイダに対して児童ポル
Re: (スコア:0)
その報告書のp.17
> (ウ)ブロッキング
> アメリカでは前述したように、ブロッキングに関する法律はない。
> 従来、ISP に対してヒアリングを行っても、アメリカではブロッキングが実施されてい
> ないという回答が返ってきていた23。URL リストを作成している NCMEC に対してヒア
> リングを行った際にも、ISP がブロッキングを行っているかは把握していないという回答
> であった24。しかし今回の調査によって、大手の ISP のすべてにおいてブロッキングが実
> 施されていることが判明した。特に ISP が宣伝をしているわけではないため、実施され
> ていないように見えるとのことである。25
ブロッキングしている事実を隠しているけど、実はブロッキングしているのがアメリカ(笑)
アメリカのいう事なんて信用できんわ
Re: (スコア:0)
実質的に全てのプロバイダがblockingを実施している。
これも間違い。blockingは民間主導の取り組みで、ユーザーカバー率で言えば、95%ぐらい。
Re: (スコア:0)
NTTにブロッキング指示しといて、プロバイダが自主的にやったと、はしごを外す日本政府と手口が全く一緒だなw
Re: (スコア:0)
> ※アメリカ含む主要国ではとっくにブロッキングは実施
はいいとして、クラウドフレアのDNSはブロッキングしてるの?
そこが本件の本質なのではっきりさせて欲しいな
誰かクラウドフレアにメールで問い合わせてくれないかな
Re: (スコア:0)
つ 言い出しっぺの法則
日本はアメリカからすると中国のような検閲イントラネット (スコア:0)
NTTどころか日本の全ISPは既に児童ポルノブロッキングしてるよね
児童ポルノに世界一厳しいアメリカでさえ、児童ポルノブロッキングなんてやってないのだから日本はやる必要無かった
既にブロッキングしている事実がある以上、日本のISPのDNSサーバは信用できないので、DNS over HTTPSを強要するのは当然だよ
Re: (スコア:0)
>児童ポルノに世界一厳しいアメリカでさえ、児童ポルノブロッキングなんてやってない
は?
早い州では2004年からやってるが
適当にデマを流すなよ。
Re: (スコア:0)
ブロッキングしてない派もブロッキングしてる派も両方ともデマ流すな
現状されてるけどISPが勝手にやってるという名目だから「州」は関係ないし「州」ごとにブロッキングの有無が異なるわけじゃない
児童ポルノブロッキングを強制するアメリカ法は無いしやってないISPもある
Re: (スコア:0)
補足
ブロッキングの合法性についての争いは主に憲法修正1条、修正4条が争点になってるから州法は関係ないぞ
ちなみにほぼブロッキングをしているISP側が勝訴してる≒ブロッキングが合憲とされてる
Re: (スコア:0)
自分の調べが足りないのを「デマ」って言うのはどうかと思うが
児童ポルノなど問題のあるサイトをブロックする動きが出たがうとしたが、現行法そのままでは違法と言われる可能性があったので、州法が作られたという経緯。
その州法をきっかけにそれが連邦法で問題が
Re: (スコア:0)
日本の政府・警察がどれだけIT方面で無能なのか分かってるんだろうか
先進国でほぼ唯一日本にはまともな諜報機関も無いし民間からスパイするだけのスキルも無い
日本政府のスパイから逃れて安全な通信を行いたければTor Browserを使うだけですむよ(笑)
日本の警察や政府にはTorの通信を解読する能力などないからね
Torを使った犯罪が京都府警に検挙されたケースもあったがあれはTor以外の別ルートから犯人を絞り込んだのだろう
一方アメリカ様のスパイからは逃れられない
WindowsにもTor Browserにも米諜報機関のバックドアが大量に仕込まれているといっても良いだろう
OSもブラウザも毎月のように大量の「脆弱性」が発覚してパッチが提供されているが、その内1割ぐらいは諜報機関が意図的に仕込んだバックドアで
まだ未発見のバックドア(未知の脆弱性)が沢山残っているかもしれない