パスワードを忘れた? アカウント作成

FirefoxがDNS over HTTPなどをサポート、批判も」記事へのコメント

  • Firefoxが唯一のTrusted Recursive Resolverとして Cloudflare の Public DNS [1.1.1.1] を採用する理由は、

    • 児童ポルノ、現にDDoS用BOTコントロールに使用されているFQDNなどを含めて一切のブロッキングを行っていない(通信の自由が保建てる)
    • ログは個人識別可能なデータ(IPアドレスを含む)を削除してから記録するので、ユーザのプライバシーが完全に保たれる。
    • EDNS Client Subnet (ユーザのIPアドレスを権威DNSサーバに伝えて地域に適したサーバのIPアドレスを返す仕組み) に非対応なので、権威DNSサーバにもIPアドレスが伝われない。

    で、表向きは通信の自由も通信の秘密(プラ

    • by Anonymous Coward on 2018年08月09日 16時04分 (#3458581)

      今のSSLはどっかの認証局が不正をしたら如何なるサイトの偽証明書も作れちゃうから根本からして駄目だね

      例えば、jpドメインならJPRSサーバー証明書 [jprs.jp]しか認めない、のような仕組みにすべき
      証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する

      • by tmiura (6268) on 2018年08月09日 23時59分 (#3458965) 日記

        競争原理が働かないと、GPKIみたいな杜撰な認証局がその辺にごろごろあふれることになる。
        加えて、国単位で一つしか認証局がなかったら、スパイ組織にとっても攻撃対象が絞れるので有利。

        一方、現状の仕組みであっても、証明書はルート証明書も含めrevokeすることができる。
        競争のある環境の方がまし。

        • by Anonymous Coward

          いや、この件こそ、オープンで幅広く使われている証明書ストアをMozillaが独占して、競争がない状況だから起きた話じゃんか。あぐらをかいて自分を神か何かと勘違いしたMozillaの一部の人が、国際的に認められた厳重な実地監査に合格している事を無視して、テキストだけで判断した話。

          そして、Mozillaを神だと信仰している輩が、一方的にGPKIが悪いと煽ったおかげで、ネットにおかしな結論が出ているが、まさに独占状態が生み出した悲劇だよ。
          そして、今回の件も、Mozillaの一部の人が、自分の神だと判断して、信頼できないDNSを信頼できると勝手に決めて混乱に陥れようとしている。さらにMozillaを神だと信頼している人が追認しようとしてるのがおかしな話。

          同根の問題だよ。

          宗教なら自分らだけでやって欲しいんだ。Mozillaはシェアを落として現実路線に行くかと思ったら、優秀な人間がみんな逃げた結果、先鋭化しすぎている。おかしな状態。

          • by Anonymous Coward

            証明書ストアなんて誰でも作れますけど。
            文句があるならユルユル審査の証明書ストア作ったら良いのでは。
            誰がそれを信用するのか知りませんけど。

          • by Anonymous Coward

            国際的に認められた厳重な実地監査に合格している事を無視して、テキストだけで判断した話。

            いや、それはちょっと違う。無視はしてない(と俺は思っている)。

            逆の状況、形式的な規則の策定と実施は問題ない一方、実地監査に不合格という状況を仮定しよう。きっとその場合もMozillaは却下したに違いない。監査は無意味ではない。却下理由がそこではなかったというだけ。この結果が良かったとは思っていないけどさ。

            宗教なら自分らだけでやって欲しいんだ。Mozillaはシェアを落として現実路線に行くかと思ったら、優秀な人間がみんな逃げた結果、先鋭化しすぎている。おかしな状態。

            その点で言えば、今回はまだマシじゃないか。直接影響を受けるのは、シェアを落としつつあるFirefoxユーザーだけ。

      • by Anonymous Coward

        証明書を国別にすればアメリカの認証局が全世界のサイトを支配できる問題は解決する

        認証局、特にデジサートあたりを悪の組織と思っていませんか?
        また仮に国別に認証局を一つしか認めない、とした場合、その一つの認証局がミスや障害を含めた不正な証明書を発行して発覚した場合、最悪証明書を適用しているJPドメインすべてがrebokeされて目も当てられない状態になるのでは、と思ってしまいます。

        WEBだけならともかく、メールやクライアント証明書、アプリで必要な場合等、最悪のパターンを想定すると悪夢にしかならない気が……

        • by Anonymous Coward

          もしDigiNotar(オランダ)やWoSign(中国)しかなかったら
          該当国は目も当てられない状態まで行き着くでしょうねw

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...