パスワードを忘れた? アカウント作成
13903145 story
プライバシ

CloudflareのパブリックDNSサービス1.1.1.1ではarchive.isの名前解決が行えない 40

ストーリー by hylom
なぜそこを要求するのだろう 部門より

Cloudflareが昨年立ち上げたパブリックDNSサービス「1.1.1.1」では、アーカイブサイトであるArchive.isの名前解決ができないそうだ(本の虫)。

これは1.1.1.1側の問題ではなく、Archive.isの側が意図的に1.1.1.1に対し誤った情報を返しているからだそうだ。また、Archive.is側はその理由として1.1.1.1がArchive.isの権威DNSサーバーに対しEDNS Client Subnetを利用したユーザーのネットワーク的位置情報(EDNSサブネット情報)伝達を行わないからだと主張しているという。いっぽうでCloudflare側はユーザーのプライバシーが犠牲になるためEDNSサブネット情報を提供することはしないとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • わざわざ--enable-subnetで握り直したわけではなく、ディストリ配布のunbound使ってたらECSが有効化されていないので誰でもそうなる
    このECSの解釈に関してはArchive.isが間違っている

    こういう業社が出てくると思ったから、俺はDNS flag dayに反対だったんだよ
    こういう『EDNSフルサポ絶対』みたいな勘違い業社が出てくると思ってた

    • by Anonymous Coward

      「こういう業社が出てくると思ったから、俺はDNS flag dayに反対だったんだよ」

      もうちょっと出世して権力持ってくれや

    • by Anonymous Coward

      > ディストリ配布のunbound使ってたら
      1.1.1.1みたいな大きいパブリックDNSがそんなやる気の無い運用するとはとても思えないんだが。

      • by Anonymous Coward

        理解力が…

        1.1.1.1「ではない」個人等がディストリ配布のものを使ったらって話
        1.1.1.1「が」ディストリ配布のものをそのまま使ってるとは元レスは言っていない

    • by Anonymous Coward

      1年以上前から行われているブロックと3か月前のDNS flag dayが何か関係あるんですかね

    • by Anonymous Coward

      この件に関してはPublic DNS特有の事情があるので自前のそれと同列には語れない。

      自前のDNSサーバ(ここではDNSリゾルバを指す)からの要求はECSがなくてもDNSサーバのIPアドレスから地域性を判断して適切なCDNサーバに誘導できる。

      ところがCloudflare DNS Resolverは世界中のDNSサーバがAnycastで1.1.1.1のIPアドレスを持っていて、かつバックエンドでもフロントエンドと同一のIPアドレスでDNS要求を飛ばしてくるため、地域性の判断ができない。

      Archive.isに賛成はしないが、解釈を間違っているわけではない。確信犯だろう。

      • by Anonymous Coward on 2019年05月08日 22時27分 (#3611387)

        ところがCloudflare DNS Resolverは世界中のDNSサーバがAnycastで1.1.1.1のIPアドレスを持っていて、かつバックエンドでもフロントエンドと同一のIPアドレスでDNS要求を飛ばしてくるため

        、地域性の判断ができない。

        太字の部分が大嘘です。
        公式ソース読めば一目瞭然
        https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details/ [cloudflare.com]

        Whitelisting 1.1.1.1
        Authoritative DNS providers may want to whitelist IP’s 1.1.1.1 uses to query upstream DNS providers. The comprehensive list of IP’s to whitelist is available at https://www.cloudflare.com/ips/ [cloudflare.com].

        IPアドレスのリストに 1.1.1.1 は存在しない。
        クラウドフレアパブリックDNSのバックエンドは、Anycastしていない普通の地域判定できるIPアドレスで、geoipを使えば正しく地域を判定できる。

        親コメント
  • by Anonymous Coward on 2019年05月08日 6時54分 (#3610800)

    クライアントのip address は archive.is はウェブサーバで知れるのでプライバシーは高まらない。
    Cloudflare の主張通り密度が高いので分散に支障がない。特定の国の法律が問題ならその地域だけで充分だ。

    • by Anonymous Coward

      なんで1.1.1.1の密度が高いの?

      • by Anonymous Coward
        7バイトで済むやん
        これが192.168.1.1なら11バイトも必要になる…
    • by Anonymous Coward

      匿名プロキシユーザーへの配慮ですよ。HTTP要求はプロキシで匿名化してもDNS要求はOSが生IPで解決しちゃうことがあるので、タイムスタンプを突き合せれば身元割れの可能性があります。

      • by Anonymous Coward

        緩いブラウザならタイムスタンプで突合する必要すらないかもよ。
        セッションID等をエンコードしてHTMLに埋め込んでしまえばより簡単に突合出来てしまう。

        # spamクローラー検出用に罠メールアドレスで似たような事してる。

    • by Anonymous Coward

      Cloudflare側の意図は簡単で、その情報を出さない事で競合他社のCDNが適切にトラフィックを捌けなくしてるって事ではないかと。

      あの会社、利己的な行動をいつもプライバシーだの何だのといって飾るけど、結局自分らの利益最優先でグレーな行為を正当化してるだけなんだよ。

      • by Anonymous Coward

        とarchive.todayの中の人は主張しているけど、ほとんど言い掛かりに近いと思う。

        だって1.1.1.1を使ってるユーザーがCDN(例えばAkamai)からの適切な配信を受けられないからって、じゃあ「Akamai使うのやめよう」ってならんでしょ。むしろ「1.1.1.1使うのやめよう」ってなるだけ。Cloudflareに何の動機もメリットもない。競合他社への嫌がらせにすらなってない。

        • by Anonymous Coward

          どのCDNを選ぶのはサービスを提供するプロバイダ
          1.1.1.1を使うのはユーザー

          そこを抑えてもう一度考えてみて

  • by Anonymous Coward on 2019年05月08日 8時11分 (#3610832)

    Peeep.usも潰れちゃったし、初めから安定してるインターネットアーカイブでよくない?

    • by Anonymous Coward

      アーカイブ元サイト管理者から比較的消されにくい。
      あと、そもそも魚拓系であり短いURLにもしてくれるから共有しやすい。

    • by Anonymous Coward

      有名なサイトは監視されて都合の悪いコンテンツに即削除要請飛ばされるけど
      マイナーなサイトなら残りやすい

    • by Anonymous Coward

      WeybackMachineは動的サイトの保存に弱い。
      特にTwitterなどはArchive.todayを使わざるを得ない。

      • by Anonymous Coward

        初めから全部で保存しとけばいいんじゃないか、どうせ何かしら潰れるし

  • by Anonymous Coward on 2019年05月08日 9時23分 (#3610869)

    プライバシーを考えると、IPアドレスの上位3オクテットを渡すのではなく、
    たとえば問い合わせてきたアドレスのAS番号を渡すとかのほうがよかったのでは?

    AS番号なら、上位3オクテットを渡すよりプライバシー的に有利

  • by Anonymous Coward on 2019年05月08日 11時21分 (#3610937)

    この手のパブリックDNSを潰すには、潰したいDNSからの問合せに対しては、偽の情報を流す事を義務づければいい。そうすれば常用するには難のあるサービスになって、利用者は大幅に減らせる

    ってことなのかな?
    なんかロシア中国辺りはもうやってそうだな……。

    • by Anonymous Coward

      そういうクズサービスにアクセスできなくなるDNSはステキ。

      でもPublicDNS使ってる人やサーバーももう少なくないし、アクセスは目に見えるほど減るだろうね。
      で普通にアクセスできる競合が儲かると。

      一部のホストにだけ違う情報を流す、という設定ができる企業がどれくらいあるか・・・
      そもそも自社にDNS触れる人材がいない企業の方が多い。

      • by Anonymous Coward

        >そういうクズサービスにアクセスできなくなるDNSはステキ。

        親コメはそういう意味じゃないと思いますが……。

        中国政府が.cnの権威サーバでPublic DNSからの問い合わせをブロックするなんてこともあり得そうですよね。

        • by Anonymous Coward

          中国のサイトにつながらなくなるのはステキではないですか!

  • by Anonymous Coward on 2019年05月08日 12時07分 (#3610960)

    1か月ほど前に双方の発言を日本語でまとめたブログがありまして。

    Cloudflare Resolver(1.1.1.1)でArchive.todayにアクセスできないワケ(2019/04/12 06:54)
    https://note.mu/note_s/n/n9a4ad5e52db2 [note.mu]

    1年以上前から判明している問題ではあるのですが、今でもCloudFlareに「お前がブロッキングしているんだろ!」と凸する人が後を絶ちませんね。

  • by Anonymous Coward on 2019年05月08日 17時05分 (#3611143)

    要するにArchive.isってボットじゃないの?

    • by Anonymous Coward

      この件は明らかにCloudflareに問題があるでしょ。こんなことやってたらCDNは成り立たない。

  • by Anonymous Coward on 2019年05月08日 20時47分 (#3611299)

    勘違いしている人が大半なようですが、「1.1.1.1」というIPアドレスのサーバは世界中にあって(東京にもある)、
    「1.1.1.1」はフロントエンドもバックエンド(権威DNSサーバへの問い合わせ)も同じ場所にありますので、
    EDNS Client Subnet がなくても、およその地域は特定できます。

    その証拠として https://srad.jp/comment/3387306 [srad.jp] があり、東京のISPからの試験で 2 ms でレスポンスが返ってくるってことは
    1.1.1.1のフロントエンドの1つは少なくとも東京付近にあるということになります。

    アメリカのユーザーが1.1.1.1に繋ぐときに東京に繋がるなんてことはありえませんから(そうしたらレイテンシ数十msになる)アメリカにも当然1.1.1.1のサーバがあるということになります。

    ということは、EDNS Client Subnetのように埼玉県からのアクセスだとか茨城県からのアクセスだというレベルまでは特定できないものの、
    1.1.1.1 のフロントエンド=バックエンドのリージョンごとに権威DNSサーバが異なるDNSレスポンスを返すことはできるので、CDN による配信の最適化には大きな影響は出ません。1.1.1.1 も高速化を目指すDNSサービスですので、世界中あちこちにサーバがあるからです。

    ということで、プライバシー保護の観点から、EDNS Client Subnet 対応はしなくても問題ないです。
    これは、Archive.is側の対応が明らかにおかしいケースです。

    • by Anonymous Coward

      特殊なケースに個別対応した方がいいのか、ってのはまた別問題じゃないかな。

    • 1.1.1.1 のフロントエンド=バックエンドのリージョンごとに権威DNSサーバが異なるDNSレスポンスを返すことはできるので
      それができたら苦労しねーよ

      • 1.1.1.1 のフロントエンド=バックエンドのリージョンごとに権威DNSサーバが異なるDNSレスポンスを返すことはできるので
        それができたら苦労しねーよ

        まず、1.1.1.1 ってのは、IP anycast技術を用いて、同じIPアドレスでも実際には複数のマシン(各リージョン)に振り分けられるようになっているの。
        で、1.1.1.1 のバックエンド(権威DNSサーバへの接続元)はフロントエンド(一般ユーザがアクセスする先)と近い地域(同じデータセンターと思われる)にあるの。
        で、1.1.1.1 のバックエンドは接続元IPアドレス1.1.1.1を名乗らず GeoIP などで地域特定できる普通のIPアドレス(地域判定ができるIPア

        • by Anonymous Coward

          訂正
          × 普通のISPのDNSサーバと同じようにIPアドレスで地域判定して
          ○ 普通のISPのDNSサーバを使っているユーザからのアクセスと同じようにIPアドレスで地域判定して

          • by Anonymous Coward

            なるほどそういうことか完全に理解した

      • by Anonymous Coward

        https://developers.cloudflare.com/1.1.1.1/nitty-gritty-details/ [cloudflare.com]

        Whitelisting 1.1.1.1
        Authoritative DNS providers may want to whitelist IP’s 1.1.1.1 uses to query upstream DNS providers. The comprehensive list of IP’s to whitelist is available at https://www.cloudflare.com/ips/ [cloudflare.com].

        バックエンドのIPアドレスは1.1.1.1ではなくgeoip可能なIPアドレスなのだから
        EDNS Client

  • 不完全なソースで誤ったこと書き込んでいる人が多すぎますが、1.1.1.1 は EDNSサブネット情報を権威サーバーに送ってます。
    ストーリーからのリンクされている https://cpplover.blogspot.com/2019/05/cloudflarednsarchiveis.html [blogspot.com] をよく読んで下さいね。

    1.1.1.1 は、ユーザーのIPアドレスの「EDNSサブネット情報」ではなく、CloudflareのDNSのサーバー単位の位置情報と紐づけができるIPアドレスを「EDNSサブネット情報」として返しているのです。

    で、1.1.1.1はCloudflareの現在180都市に展開している全ネットワークで提供しており、180地域に対応していればCDNの最適化で問題は起こらないので、地理ロードバランスが妨げられることはありません。

    1.1.1.1 を使われたらどの地域のユーザからのアクセスだか分からないなんて問題は初めから生じていないのです。

    • https://news.ycombinator.com/item?id=19828702 [ycombinator.com]

      Cloudflare resolver が resolver 自身のIPアドレスをEDNSとして送れば良いという意見(The suggestion was to use the EDNS of the datacenter server, how does that ruin privacy?)はあるが、今は送っていない

      しかしそんなことしなくても、resolverのfull IPをDNS queryで送っているので、それで地域判定はできる(The full IP of the Cloudflare resolver doing the recursive resolution is already provided to

    • by Anonymous Coward

      不完全なソースで誤ったこと書き込んでいる人が多すぎますが、1.1.1.1 は EDNSサブネット情報を権威サーバーに送ってます。
      特大ブーメランかな?

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...