- momongarides
- 397
- 0
- 0
- 0
proxyにはバレバレなんだがそれでいいのか...? twitter.com/jingbay/status…
2020-12-09 23:09:13AppleとCloudflareがさらにユーザのプライバシに配慮したとのOblivious DNS-over-HTTPS、ODoHとのプロトコルを開発。 ユーザのDNSリクエストはproxyが代替することでresolverがユーザがどのサイトへアクセスしたかの解析を防ぐ。PROXYは通信の中身を除くことはできない。proxyとresolverは別主体 twitter.com/TechCrunch/sta…
2020-12-08 23:21:20@beepcap resolverとclientの間はTLSとは別に暗号化します。resolverはclientのIPアドレスを把握できず(proxyまでしか見えない)、proxyはclientの照会と応答の内容は見られない仕組みです。
2020-12-09 23:25:53@__kokumoto あーそのあとのwebへのアクセスはproxyを経由しないってことですね?(そうじゃないと結果的に何を名前解決したのかバレバレになるので)
2020-12-09 23:30:52@__kokumoto それってうがった見方をすれば、リゾルバの代わりにうちがだけが追跡できるようにするぜっていう邪悪な囲い込みに見えてしまって...
2020-12-09 23:37:32@beepcap なので、proxyとリゾルバは別の人を選びます。二者に結託されたら終わりですが、少なくとも一者だけが危殆化しても追跡はできなくなります。 出したリゾルバ各社としては、自分たちは追跡などしていないとアピールしつつ、追跡に加担させられるリスクも減らせるという目論見かと…
2020-12-09 23:44:08@__kokumoto 真面目なはなしリゾルバから追跡されるリスクがProxyから追跡されるリスクに変わるだけで、本質的な解決になっていないように見えるのがなんともあれですなぁ・・・
2020-12-09 23:56:55@beepcap ペイロードはproxyでは復号できない(少なくとも、MitMしようとしたら発覚する)ので、追跡できるのは名前解決の頻度くらいかと。(client-resolver間で公開鍵暗号を使う) 応答の長さが特徴的な場合に追跡できる可能性は(元論文とRFCを流し読みした範囲だと)残る気もしますが、相当限定的ですかね…
2020-12-10 00:14:52@__kokumoto いや、Proxyを経由してhttpsを参照すればそれがパススルーだとしても相手先のIPアドレスと紐付けばできるのでなぁといったお気持ち。
2020-12-10 00:45:38