韓国でSNIフィールドを使った特定サイトの接続遮断

DNS Network Security

アダルトサイトなど政府が不法と規定した有害サイトへの接続が11日から全面的に遮断された。


IT業界によると、KTなど韓国国内インターネットサービス事業者(ISP)は当局の要請を受け、11日から「サーバーネームインディケーション(SNI)フィールド遮断方式」を利用したウェブサイト遮断を始めた。この遮断方式は以前より強力なウェブサイト遮断技術。審議当局の関係者は「11日の一日間に約800件のウェブサイトがSNIフィールド遮断方式で接続が遮断された」と伝えた。


サイトが全面的に遮断されると、一部からは表現の自由の委縮や盗聴、検閲問題が指摘された。またISPの顧客センターやSNSなどでは特定サイトに突然接続できなくなった理由について使用者の問い合わせが集中した。


当局が従来使用した「URL遮断」はプロトコル「https」をアドレスバーに入力する方式で簡単に避けることができる。昨年10月に導入された「DNS(ドメインネームサーバー)遮断」方式もDNSアドレス変更などで迂回が可能だ。


今回導入したSNIはウェブサイト接続過程に適用される標準技術をいう。当局は接続過程でやり取りするサーバー名(ウェブサイトアドレス)が暗号化されずそのまま露出するという点を考慮して遮断を始めた。


当局のこうした決定に対し、有害情報の遮断などが目的ではあるとはいえ「表現の自由が委縮する」という声が出ている。ソン・ジウォン弁護士は「SNIフィールドを遮断するには、政府が機器間を行き来するパケット(データ伝送単位)を見るしかない」とし「インターネット利用者の表現の自由が委縮するだろう」と聯合ニュースを通じて述べた。

一部の男性はこの日、オンラインコミュニティーを通じて「成人が自由にアダルト動画も見られないのはおかしい」「独裁時代だ」「時代に逆行している」などと主張した。

また「有害サイト遮断」を目的に暗号化されていない個人情報を監視することに対する適切性問題を指摘する意見もある。IT専門市民団体オープンネットは「暗号化されていないSNIフィールドは一種のセキュリティーの弱点と見ることができるが、これを政府の規制に活用することが適切なのか疑問」とし「不法サイト遮断の目的だけに活用されるという保証はない」と指摘した。


ソ-ス:韓国政府、アダルトサイトを11日から遮断…「独裁時代か」の声も | Joongang Ilbo | 中央日報

関連:
DNS over HTTPSの必要性について - Qiita

Encrypted SNIの効果と韓国でのブロッキングの回避方法について - Qiita

ブラウザの「トラッキング拒否機能」

Security Firefox Google Chrome

 多くの人々がトラッキング拒否機能をオンにしているものの、ラッキング拒否機能は単にシグナルを送っているだけだという事実を知っている人は多くありません。ラッキング拒否機能について聞いたことがあり、「少しなじみがある」あるいはそれ以上になじみがあると回答した人でさえ、44.4%はトラッキング拒否機能がシグナルを送るだけだと知りませんでした。


 DuckDuckGoはこのトラッキング拒否機能の性質について、「ブラインドを上げた状態で『私の家を見ないでください』という看板を庭に設置する」のと同じようなものだと指摘。実際に、GoogleFacebookTwitterといった大手IT企業はトラッキング拒否機能のシグナルを無視しているとのこと。


 トラッキング拒否機能という名称に対して実際に行っている行動がほとんど効力を持たない点は、ユーザーに対し大きな誤解を招くとDuckDuckGoは主張しています。


 DuckDuckGoは政府がトラッキング拒否機能に関する企業への義務を設けることを期待しています。



ブラウザの「トラッキング拒否機能」にはほとんど意味がないという指摘 - GIGAZINE

国によるIoT機器へのセキュリティ調査

Security

 サイバー攻撃に悪用されるおそれのあるIoT機器を調査し、対象機器のユーザーへ注意喚起を行うプロジェクト「NOTICE(National Operation Towards IoT Clean Environment)」を、総務省および国立研究開発法人情報通信研究機構NICT)が2月20日から実施する。同プロジェクトの情報を発信するための専用ウェブサイトも2月1日に開設されている。

 NOTICEでは、国内にある約2億のIPv4グローバルIPアドレスにポートスキャンを行う。容易に推測されやすいID・パスワード約100通り(「password」「888888」「123456」「admin1234」など、過去のサイバー攻撃に用いられたものも含む)を、ルーターやウェブカメラ、センサーなどの機器を対象に入力することで脆弱な機器を特定する。

ISPからの注意喚起やNOTICEサポートセンターの案内にあたり、費用の請求や設定しているパスワードを聞き出すことはないとしている。NOTICEに便乗した詐欺にだまされないように注意が必要だ。


ソ-ス:国によるIoT機器へのセキュリティ調査、2月20日よりポートスキャン実施 - INTERNET Watch

関連リンク:
IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施(総務省)
「NOTICE」専用ウェブサイト

2019年2月1日は "DNS flag day"

DNS Network

■ はじめに

DNSにはEDNSと呼ばれる拡張機能があります。このEDNSの実装が正しくないDNSサーバやネットワーク機器が、インターネット上に存在しています。これまで、いくつかのオープンソースDNSサーバソフトウェアでは、EDNSの動作に不具合があるようなサーバ等に対しても名前解決ができるように、回避策が実装されていました。しかし「実装が複雑になりDNSの安定運用にも支障をきたすため、2019年2月1日以降のリリースから回避策の機能を削除することにした」というアナウンスがありました。


機能削除の予定日である2019年2月1日は "DNS flag day" と名付けられました。この記事では、その DNS flag day についてご紹介します。


■ EDNS (Extension Mechanisms for DNS)

DNSは古くから存在するシステムの一つです。元々の仕様としてDNSサーバ間の通信は、やりとりするDNSメッセージが512オクテット以下の場合はUDPを、それより大きなメッセージになる場合はTCPを用いることになっています。また、DNSメッセージ中の制御情報となるヘッダ領域は長さが固定になっており、情報を新しく追加することは無制限にはできません。


こうした元となる仕様は、設計当初のインターネットの状況を反映したものなのですが、当時はあまり問題とならず、仕様の許す範囲で徐々に機能が追加されていきました。しかし、近年になっても機能追加の要望は続き、やりとりするデータ量は増加傾向にありました。そのため、メッセージサイズの大きさ制限やヘッダ情報への追加の困難さなど、従来の制限は厳しいものとなってきていました。


そのため1999年、従来のDNSを機能拡張できるようにする目的で標準化されたものがEDNSです。そのEDNSで拡張される基本的な機能としては以下のものがあげられます。

DNSメッセージヘッダ: RCODEやフラグの拡張
DNSラベルタイプ: ラベル型の拡張
DNSメッセージのUDPペイロードサイズ: 最大512オクテットの制限を通信可能であれば65535オクテットまでに拡張

これらのEDNSの機能によって新たな情報が追加可能となったため、近年では "NSID" や "EDNS Client Subnet" などの、EDNSを用いた追加機能が標準化されています。


■ 実装の不備と回避処理

上記の通り、EDNSを利用することでさまざまな機能が、DNSに対して追加することができるようになりました。また、メッセージサイズの上限が増えたため、大きなメッセージでもTCPを使わずUDPだけで送信できることになり、負荷軽減や速度の向上が見込めるようにもなりました。


しかし、DNSサーバやファイアウォールをはじめとしたDNS機能を持つ各種ネットワーク機器において、正しくEDNSを処理できない機器がインターネット上に存在することが判明しています。そういった機器に対してDNSの通信を行ったとき、問い合わせや応答が不正になる場合があります。


そういった状況があったことから、各種オープンソース実装のDNSサーバソフトウェアはこれまで、通信途中で正しくないEDNSの機器を検知した場合、EDNSなしでの通信を再試行する、バッファサイズを512オクテットで再送する、TCPでの再送を行ったりするなど、名前解決ができるような回避策を実装し対応をしてきました。


DNS flag day

しかしながら、そのような特殊な対応は、DNSサーバの処理速度の低下を招いたり、プログラムコードのメンテナンスや新規機能の実装を困難にさせたりする要因になっています。


それを改善するため、各種オープンソース実装をしているいくつかの組織は、2019年2月1日以降にリリースされるDNSソフトウエアから、回避機能を取り除くと発表しました。その組織と主な実装は、以下の通りです。

Internet Systems Consortium (BIND)
CZ.NIC (Knot Resolver)
NLnet Labs (Unbound)
PowerDNS (PowerDNS Recursor)

これらの組織は、転機となる2019年2月1日を DNS flag day と名付け、DNSサーバ運用者やDNSソフトウェア開発者などに対して注意を呼びかけています。


ソ-ス:・JPNIC Blog :: 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります



DNS flag dayについて(速報版) - dns-flag-day.pdf

読みやすいフォント

HTML CSS Firefox

上記をまとめると、以下の CSS ができ上がります。ご参考になれば幸いです。

    body {
      /*  フォントの種類  */
      font-family: -apple-system, BlinkMacSystemFont,
                   "Hiragino Kaku Gothic ProN", Meiryo, sans-serif;
      
      /*  フォントのサイズ  */
      font-size: 16px;
      
      /*  フォントの色  */
      color: #333;
      
      /* 文字間隔の調整の設定 */
      letter-spacing: 1.5px;
      
      /* 行間の設定 */
      line-height: 1.75;
    }

ソ-ス:読みやすいフォントの CSS 設定例 | murashun.jp

検索エンジン「DuckDuckGo」がAppleのマップを採用

Security

プライバシーの保護を掲げる検索エンジン「DuckDuckGo」がAppleのマップを採用 - GIGAZINE




関連:
Googleが所有していた「Duck.com」ドメインがついにDuckDuckGoのものに、長年の混乱に終止符 - GIGAZINE

Google Public DNS、DNS-over-TLSに対応

DNS Network Router Security Ubuntu Windows10

Googleは1月9日(米国時間)、「Google Online Security Blog: Google Public DNS now supports DNS-over-TLS」において、同日からGoogle Public DNSにおいて「DNS-over-TLS」の提供を開始したと伝えた。同サービスを利用することで、これまでよりもプライバシー保護を進めることができるほか、DNSゾルバの通信を偽造するといった攻撃を回避しやすくなるとされている。


DNS-over-TLSを利用する方法は「Get Started|Public DNS|Google Developers」に説明がまとまっている。


ソ-ス:Google Public DNS、DNS-over-TLSに対応 | マイナビニュース

データ復旧業界の健全化を目指して活動する一般社団法人日本データ復旧協会(DRAJ)

Hard

 ユーザーにとって問題なのは、たいていはハードディスクが故障してから業者を探すことになるので、業者を見分けるための知識や経験がないことだ。

 その中でも悪質な業者の兆候を見分けるためのポイントを3つ教えてもらった。


 1つ目は「急かす」。知識のないユーザーが判断しかねるときに、「1時間以内に決断しないとハードディスクの調子が悪くなる」と言われては、ますます正常な判断ができなくなる。嘘をついてでも急がせる業者には注意したほうがいい、ということだ。


 2つ目は、「嘘をつく、不可能な復旧率を出す」。復旧できる見込みが限りなく低い状況や復旧できるかどうかも分からない状態で「復旧できる」と嘘をつくケースが相当する。また、“データ復旧率90%以上”など高い復旧率を宣伝文句にしているところも疑ったほうがいいという。

 「磁性体剥離など、直らないものは一定の割合あり、ベストで70~80%ぐらいでしょう。復旧率の算定方法は業界で統一されたものはないため、例えば診断して復旧できそうだと分かって正式に依頼を受けたものを分母にすれば、100%に近くなってしまいます。そのような数字でユーザーを釣るこのとないよう、DRAJでは、復旧率の基準を明記しつつ、復旧率をうたわない、と取り決めています。」(本田氏)

 3つ目は「復旧不可でも高額な費用を請求してくる」だ。事前に充分な説明や理由もなく、問い合わせ時は成功報酬と言っておきながら、復旧できない場合でも費用を請求してくるケースが相当する。



ソ-ス:・「データ復旧率90%以上」を疑え、社名変えながら荒稼ぎする悪質業者をデータ復旧業界歴23年の本田氏が指摘 - INTERNET Watch


関連:
一般社団法人日本データ復旧協会

WindowsのIME切り替えがMac方式に

Ubuntu Windows10 IME

 マイクロソフトWindows Blogの12月20日公開版によれば、Windows 10 Insider Preview 18305では、IMEのオン/オフを切り替える設定を強化しているという。これにより、スペースバーの左右にある[無変換]と[変換]キーの動作が変わる


ソ-ス:[半角/全角]キー不要に? WindowsのIME切り替えがMac方式に - ITmedia NEWS

OSを入れ替えたときは[無変換]と[変換]キーに変えている。


関連:
MacからiOSまで、Apple日本語環境の知られざる歴史が明らかに - ITmedia NEWS

backspace.fm:元Apple日本語開発リーダー木田泰夫氏インタビュー「Appleの日本語環境を支えた、これまで語られなかった20年」#backspacefm | レポート | Macお宝鑑定団 blog(羅針盤)

iBusがクソになった理由

 Windows なら IME には MS IMEATOK を使って、そのIMEの入力モードを直接入力モードや漢字変換モードに切り替えて入力します。ところが OS X だと「ことえり」「英数(直接入力)」を切り替えて入力するんですね。Chromeもそんな感じ。目指しているのはどうもあれです。


 もうちょっと本質的に説明するとこうなります。IMEの種類(iBus 用語でいうところの Engine)を固定してそのIMEの状態をキーボードで切り替える Windows やそれまでの X11 で取られていた方法とは異なり、IMEの状態は固定してIME自体をキーボードで切り替えるOS X的な振る舞いに変更したとのこと。図にするとこう。

OS IMEの種類 IMEの状態
Windows 通常は切り替えない キーボードで切り替え
OS X キーボードで切り替え 通常は切り替えない

これに加えて iBus 1.5 ではアプリ毎にIMEの状態を管理するのではなく、全体でIMEの状態を共有するようにもなっています。これも OS X からのパクりと言ってよいでしょう。いや逆にこれをやりたいために、IMEの状態なんかみないで種類を切り替えちゃえば良いじゃん的な発想にもなったのでしょう。

いかんせん使いにくいことに変わりはありません。


ソ−ス:iBusがクソになった理由 — KaoriYa

HDD破壊法(物理)

Hard

データを完全消去するならプラッタ破壊!

 どのような状況になれば、データがサルベージできないのか? 答えは簡単だ、特殊嗜好のデータを人知れず、確実に破棄するためには「プラッタ」を破壊すればいい。


ソ−ス:【藤山哲人と愛すべき工具たち】みんなの秘密を守るためサンタがHDD破壊法(物理)を伝授 - PC Watch


100円ショップのドライバーは悪!

Hard

【藤山哲人と愛すべき工具たち】ネジ山が潰れた! ネジ頭が取れた! 悲劇を救う天使の工具 - PC Watch

【藤山哲人と愛すべき工具たち】100円ショップのドライバーは悪! DIY名人がイカしたドライバー教えちゃる - PC Watch

Introduction · HTTP/3 explained

詳解 HTTP/3
 この本の試みは2018年3月に始まりました。HTTP/3 と、その根幹のプロトコルである QUIC を文書化することがその目的です (なぜ、どのようにして動作するのか、プロトコルの詳細、その実装など)。
 この本は完全に無償で提供され、援助したいと考えるすべての人を巻き込んだ共同作品です。

HTTP/3 explained · GitBook (Legacy)

独立したWindowsのデスクトップ環境「Windows Sandbox」

Windows10

独立したWindowsのデスクトップ環境を再現して安全にいろいろ試せる「Windows Sandbox」がWindowsの新機能として登場 - GIGAZINE

実行に必要な環境
Windows 10 ProまたはEnterpriseのbuild 18305以降
AMD64アーキテクチャ
BIOS上で仮想化機能を有効化しておくこと
・4GB以上のRAM(8GB以上を推奨)
・1GB以上のディスク空きスペース(SSDを推奨)
・2コア以上のCPU(4コア以上・Hyperthreading対応環境推奨)