ドイツのISPが俺のサイトをDNSでブロック!これって一体どういうこと?
引用元:https://news.ycombinator.com/item?id=45003033
CUIIの公式サイトが「裁判所のブロック命令を執行する」って言ってるのに、記事ではCUIIが独自にサイトをブロックしてるって書いてあるから混乱してるよ。この言葉遣いだと、裁判所命令以外もブロックする可能性を否定してないよね?
ブログ記事が書かれた時はCUIIのウェブサイトには「独自にDNSブロックを推奨する」って書いてあったんだ。今は変わって「裁判所のブロック命令を調整・実施するだけ」になったみたい。著者の別の記事「https://lina.sh/blog/cuii-gives-up」にもその変更が書かれてるよ。
著者のlinaが18歳なのに、こんな深い知識を持ってて、このレベルの議論に関わってるなんてすごいね。どうやってるんだろう?いつも不思議に思うよ。
企業がさ、自分たちを「良い奴ら」だって信じ込ませるのって、いつもこんなに簡単なのかな?
「企業が良い奴だって信じさせるのが簡単か?」って質問の意味が分かんない。企業がサイトに書くことは、彼らが信じさせたいことで、真実とは違うかもよ。例えば、俺が「aleph_minus_oneは史上最高の人間だ」って書いたら、それだけで信じる?
あなたが誰だか知らないけど、素晴らしいと思うよ!最高ってわけじゃないかもしれないけど、それでも十分素晴らしいよ!
ヘイ、俺の名前にも書いてあるだろ!:D 君も最高だよ、名前には書いてなくてもね!
言おうと思ってたけど、怖くて言えなかったんだ!:P
そうだよ。彼らは(ロビー)マネーで毎日投票してるのに、君は4年に一度、鉛筆で投票するだけだもんね。
ブログ記事は2月のものだけど、CUIIはそれ以来、裁判所命令が出るまで内部グループでブロックを恣意的に決めてたのを、厳密に裁判所命令のあるドメインだけにするように変更したんだ。だから、以前は”過去の類似ケース”に基づいて裁判所命令なしでブロックしてたけど、規制当局から批判を受けて、今は裁判所命令のあるブロックだけになったよ。
まるで”政治にはかつて多くの腐敗があった。今でもそうだけど、昔もそうだった”って感じだよね。
タイトルは誤解を招くね。彼らは著者のサイトのDNSをブロックしたわけじゃない。著者のサイトがどうやってDNSブラックリストを決定してるのかを突き止めるために、自分たちのサイトのDNSをブロックしたんだ。その後、戦略を変えたみたいだね。
ルールが変わったのは数週間前で、今は常に裁判所命令が必要になったと思う。前はそうじゃなかったけどね。それでも、ドイツ以外のDNSサービスを使うことを強く勧めるよ。
CUIIのブロックプロセスは、恣意的な企業判断ではなく、裁判所命令に基づいていることに注意してね。詳しくはここ見て→ https://lina.sh/blog/cuii-gives-up
残念ながら、小さな落とし穴があるよ。古いブロックは残ってるんだって。
違うよ。君がリンクした記事には、今の悪質なブロックリストはまだ存在するけど、もう増えたりはしないって書いてあるよ。
CUIIが諦めたのと、ブロックをチェックする人たちから隠す方法を見つけたから、諦めたって言ってるだけなのって、どうやって区別できるんだろうね?
CUIIはDNSブロックを諦めてないし、続けるって言ってるよ。裁判所命令のもと、これからも合法的にブロックするサイトを増やすだろうね。過剰ブロックって言われてるのは、すでに削除されたドメインを無駄にブロックしてるってだけだよ。
証拠提出から裁判所命令発効までの間に削除される場合があるから、これからも続くんだろうね。
この記事もリンク先の記事も、同じブログの同じ著者によるもので、5ヶ月前の記事なんだね。新しい記事には更新情報が含まれていて、著者の活動が成功したことを示してるってことだ。
昔の西洋では、著作権が検閲の手段だったんだって。お金のためなら検閲じゃないって考えられてたみたい。でも今は、アメリカは強制的な自己検閲を推し進め、ヨーロッパも色々な方法を見つけてるよね。解決策は法律や政治じゃなくて、テクノロジーしかないって思う。みんなセキュリティとコントロールを求めてて、自由は流行遅れなんだ。主流は支配されるだろうね。
商業的な検閲は広く受け入れられてるけど、公益のための検閲って危険な坂道みたいに感じるよね。でも、この二つって本当にそんなに違うのかな?公益のための検閲も、同じくらい目的を持って実行できるのかな、それともいつも目標にそぐわない自由の喪失につながっちゃうのかな?
アメリカに住んでるけど、自由の現状には納得できないんだ。建国の理想は支持してるし、警察や軍の人たちも応援してるけど、彼らがやらされてるファシスト的な命令は違うと思う。みんな、法と秩序を守るために入隊したはずだよ。テキサスで可決されたゲリマンダリング法とか、色々なことを見てると、この問題は放置しておいても解決しないってわかるね。宇宙に行くことには賛成だよ。他の生命を壊さない限りはね。
あなたが好きなプロパガンダサイトはどうするの?ロシアのとか、違法な戦争に関わってる国のプロパガンダも全部禁止するの?どれだけのSNSやニュースサイトが残るんだろうね。「子供たちのために」っていう議論は、自分の都合が良い時だけ気分がいいけど、いざ自分に向けられたら何も言えなくなるよ。禁止するなんて、ただゴミをカーペットの下に隠すようなものさ。SNSにはまだゴミが溢れてるのにね。禁止を拍手してる人たちは、プロパガンダや誤情報を扱う上で一番大事な「教育」が足りないんだよ。子供にタバコを吸わせたくないなら、隠すんじゃなくて、教えるべきだよね。
著作権は検閲じゃないよ。検閲は国や会社が特定の情報を撤回したりブロックしたりすること。著作権は、国や会社が特定の表現形式をブロックすることなんだ。著作権があるからって、他人のものを盗用しなければ、どんなアイデアでも自由に公開できるはずだよ。(フェアユースもあるしね)
著作権によるコンテンツ削除はcensorshipだよ。内容が「copyrighted material」だろうと「support for Hamas terrorism」だろうと、「このコンテンツはXだから削除」って言われたら、結局は拡散を妨げられてるんだ。違う言い訳をしてるだけで、やってることは同じだよ。
どんな理由でもコンテンツ削除が「censorship」って言うのは、言葉の使い方がおかしいんじゃない?そんなに範囲を広げると、言葉の役立ち度がなくなるよ。例えば、もし俺が物を盗んで、政府がそれを取り戻したら、それは「theft」って呼ぶの?違うでしょ。
プラットフォーム買ってNazisやwhite nationalistsを煽って、弱い立場の人の声を封じ込めるのを「free speech」って言うのは、まさに『1984』のdouble speakだよね。他所の国の人たちを「savages from primitive cultures」って呼ぶのは、もう完璧なhardcore racismだよ。
技術的な解決策なんてないよ。政治的な解決策しかないんだ。そして、もう先に言っとくけど、投票なんて無意味だ。
censorship、freedom、common goodを同時に持つなんて無理だよ。censorshipってのは、今の権力者がもっと力を持つための道具でしかない。誰が「common good」を決めるんだ?そりゃ権力者だよ。社会の問題を隠しちゃうし、commercial censorshipは金儲けのためだから、もっとタチが悪いかもね。今の政府を信じてても、選挙でどうなるか分からないし、同じ権力が悪用される可能性だってあるんだから。
PoliceやICEみたいに行動してる連中の多くが、自分たちの行動を信じてないなんて思えないな。だって彼らはこの仕事を選んだんだし、去年の投票結果を見ても、彼らの多くがこれらのpoliciesを心から支持して、信じてるってことがわかるでしょ。
もっとコメントを表示(1)
でもさ、National Guardの多くは政治広告の背景になるために入隊したわけじゃないだろうし、FBIやDEAなどのagentsだって、誰かのlandscaperを捕まえることより、もっとヤバいmajor crimesを解決するためにこの仕事を選んだはずだよ。
そういうdutiesやjobsをしてる連中は、そのorganizationsがpresidentのexecutive roleとremitの一部だってことを知っておくべきだよ。彼らはpresidentが命令することを何でもやるためにsigned upしたんだから。Officersは宣誓がちょっと違うけど、chain of commandは誰にとってもはっきりしてるはずだ。
じゃああんたは児童ポルノが違法であるべきじゃないって思ってんの?みんな「公共の利益」のための検閲は信じてるよ。でも何がその「公共の利益」のために検閲されるべきかは、誰も意見が一致しないんだよな。
うん、そうだよ。財産は窃盗だね。複製コストがほぼゼロの物に対する独占なんて、道徳的には正当化できない。要するに、堕落した連中が心理操作やあらゆるひどい手段を使って「従え、さもなくば苦しめ」って考え方を押し付けてるだけなんだよ。
2025年の今なら知るべきだろうけど、昔は違った。誰も大統領がFederal Law Enforcement Agencyを政治利用するなんて思ってなかったし、National Guardもそう。いつかこの悪い流れを止めて、元のまともな状態に戻れるといいんだけどな。
「公共の利益」のための検閲って何だよ?結局、検閲ってのは上からの圧力でしかないわけで、定義上「みんなのもの」じゃないんだよな。
大統領が政治目的でFederal Agencyを使うなんて誰も思ってなかったっていう意見には納得できないな。彼らは宣誓してるんだ。National Guardは星条旗を背負ってる。制服のUSAのパッチは、合法的な命令を「政治的」だと決めつけて拒否する権利なんてないってことだ。命令通りに仕事したくないなら辞めればいい。彼らは公僕なんだから。
あんたが「すべての財産は窃盗」だと思ってるのは前衛的だけど、世界のほとんど(Germanyも含む)はそう思ってないんだよな。だから、GermanyのISPの行動に関する建設的な話とはあまり関係ないように思えるけど。
違いなんてないよ、実装が違うだけ。YouTubeはTurkeyで長年ブロックされてたんだ。Germanyの誰かがAtaturkを中傷する動画をアップして、GermanyとGoogleは削除を拒否したから。結局、誰かがGermanyでAtaturkを著作権登録して、YouTubeに削除させたんだよ。著作権以外だと、特にAmericansはビジネスに悪いコンテンツの検閲はOKだと思ってる。広告向けに検閲したり、所有者が好きにできるからって理由で十分だとする人も多いんだ。
子供にタバコを吸わせたくないなら、隠すだけじゃなく、ちゃんと教えるべきだっていう話。
じゃあさ、結局両方やるってこと?
そんな白黒はっきりする問題じゃないって。プロパガンダが毎日ウチの国やEUの民主主義と自由を蝕んでるんだぜ。教育に投資すべきか?(まあ、そこそこ良いらしいけど)。クリックベイトに走る商業ジャーナリズムに任せるか?それとも何もしないか?
レイシズムの定義って何なのか、すごく知りたいんだけど。
合法的な命令に従うって誓ったことには賛成。それはブートキャンプ初日から何度も何度も叩き込まれることだよ。でも、あんたは政治の駒になることを期待して入隊したって言ってたけど、それは今の主張と違う気がするな。
『公益』の定義ってのは、政治体制が自分たちの権力を維持するのに良いと思うことをすることなんだよ。あんたのためじゃなくて、奴らのためってこと。
これはアバンギャルドじゃないよ。この表現は19世紀のドイツの哲学者、Max Stirnerが作ったんだ。でも、問題の核心はそれが法的に盗難かってレベルの話じゃない。法律自体、それに従う人たちの直接の決定でできてるわけじゃないからね。だから、多くの人が道徳的だと考えること、例えば互恵性や公平性、社会全体への利益なんてのを反映してないんだ。
検閲が増えれば増えるほど、ISPが手を出せないような、本当に検閲不可能なプロトコルを開発する良いきっかけになるぜ。
こういうプロトコルや改訂版はもうあるんだよ。サイトレベルならDNSSEC、ユーザーレベルならDoT/DoHでISPの悪質な応答改ざんは防げる。問題はあんまり使われてないってこと。それに、たとえそれが変わったとしても、ISPはSNI検査とかIPブロックみたいな、もっと突破しにくい検閲方法を導入してくるかもしれないけどな。
Webマスターだって、QUIC、ECH、IPv6の導入を進めたり、フロントエンドをCDNに埋め込んだりできるぜ。そうすれば、大規模な巻き添え被害なしには『IPBAN』できないだろ。企業の検閲や自由を奪う政治家との戦いは、技術だけで勝てるもんじゃないけど、奴らをかなり困らせることはできるよ。
『大規模な巻き添え被害なしにはIPBANできない』って言うけど、スペインじゃ毎週フットボールリーグがあるたびにこれが起きてるぜ。何百ものCloudflareのIPがブラックホールに送られて、関係ないウェブサイトまで影響を受けてるんだ。
TelefonicaがMovistarを傘下に持ち、サッカー放映権があるんだ。海賊版サイトがCloudflare使ってるから、Telefonicaは裁判官にCloudflareのIPを渡してブロックさせてるらしい。裁判官はネットに詳しくないから、緊急プロトコルでOK出しちゃうんだって。試合中はCloudflareが使えなくなって数千のサイトに影響。サポートは炎上するけど、Telefonicaは否定。試合が終われば元通り。TelefonicaとO2の顧客だけ影響あるみたい。試合中に妻が買い物するからピーク時だって怒ってるビジネスもあるぞ。
え、裁判官が毎回許可してるの? LaLigaがISPに直接IPアドレスを伝えてるのかと思ってたよ。それにTelefonicaとO2だけじゃなく、今シーズンからはVodafone、Digi、MasOrangeもブロックしてるらしい。ISPはブロックを否定してない。『Cloudflareが海賊版や児童ポルノをホストしてるから』って主張してて、文句があるならCloudflareに言えとか、ごく一部のユーザーにしか影響しないから変えないって言ってるみたいだぞ。
セルラーモデムって普通は完全にロックされてるんだよね。でも、ベンダーブートキーが焼かれてないLTEチップとか、ベンダーのソースコードやツールチェーンがリークされてるのがあるのは知ってるよ。
これらの技術は検閲を完全に防ぐわけじゃなくて、せいぜい検出できるくらいだよ。DNSSECはDNS応答を検証できるけど、ISPの妨害から守るんじゃなくて、検出できるようにするだけ。DoTやDoHはもっと良くて、ISPレベルのブロックは防げるけど、政府がパブリックリゾルバーに圧力をかけたら終わり。自分で再帰リゾルバーを使えばほとんどの検閲は避けられるけど、ハイジャックは無理。ISPがブロックしてるのはリゾルバーのレベルが多くて、SNIの方がROIが高いんだってさ。
DNSSECだけじゃダメで、ODoHやDoTと組み合わせれば意味があるぞ。DNSSECがないと、DoHサーバーがISPみたいにDNS結果を好きにいじれちゃうからね。使うにはDNSサーバーやクライアントでローカル検証を有効にする必要があって、詐欺とかドメインのなりすましを防ぐくらいかな。
実際、DNSSECは普通のネットユーザーにはほぼ無意味。再帰リゾルバーと権威サーバーの間で動くもので、一般ユーザーはどっちも使わないからね。DNSSECは、名前が検閲されたことを教えてくれるくらい。インターネット上のほとんどのゾーンは署名されてないし、重要じゃないんだ。Tranco Top 1000でも署名率は10%未満だってさ。DoHは、ISPが制御できないオフネットワークリゾルバーにリクエストを送れるから、この問題を決定的に解決するぞ。DNSSECみたいにサイトが何時間もダウンすることもなかったしね。DNSSECは検閲対策にはならないってこと。
DNSSECはローカル検証を有効にしないと意味ないぞ。さもないとDNSサーバーが嘘をつき放題だからね。DNSSECは検閲は防がないけど、改ざんされたらすぐわかるようにしてくれる。ISPからCloudflareに信頼を移しても、Cloudflareは国の法律に従うから解決にはならない。DoHは検閲回避用、DNSSECは怪しいDNSサーバーを信頼できるかチェックするのに使う感じかな。俺が行くサイトの半分以上は署名済みだけど、アメリカのサイトは地政学的な問題もあるし、あんまり信頼してないから別にいいや。
俺たち、だいたい同じ意見だね。どのサイトがDNSSECで署名されてるか・されてないかについては、HNで議論するのやめようぜ。これ見てよ:https://dnssecmenot.fly.dev/
SNIブロッキングはLet’s EncryptのIP証明書とECHで難しくなるみたいだね。Cloudflareみたいな有名なサイトとIPを共有しない限り、IPブロックが唯一の対策になる。他にはI2PやTorがあるぜ。
結局、物理層をコントロールする奴が最強なんだよ。通信を止めたいと思えばいつでも止められる。唯一の解決策は、邪魔されないくらいのデカい軍隊を持つことだけだ。
検閲が増えるってことは、もっとマシな政府を選ぶべきってことだよ。暴政を受け入れながら回避策を探すなんて、間違ってるぜ。
もっとコメントを表示(2)
代替手段があるのはいいんだけどさ、実際はあんまり使われないんだよね。それに、普段から使うと逆に目をつけられちゃうことが多いんだ。
I2Pルーターでダークネットを、Yggdrasilで次世代ネットを。もっと手軽にNjalla DNSやMullvad DNSみたいな暗号化DNSやMullvadみたいなVPNを使ってみなよ。あと、プライバシーのために投票して、政治家にも手紙を送るんだ!
回避策って大体大規模なパブリックリゾルバーを勧めてるじゃん。9.9.9.9、1.1.1.1、あと特に新しいDNS4EUで、どのドメインがブロックされてるか知りたいな。これ、作者にリクエストだね。
これ、すごく助かる!DNS4EUのこと、全然知らなかったよ。https://www.joindns4.eu/about
「European Commissionにサポートされてる」ってのは、かなりの赤信号だろ。
数年前ならEUレベルのこういうサービスは喜んでたんだけどさ。今はどう悪用されるか、マジで怖いんだよね。
残念ながら、dns4euがdnscryptプロトコルをサポートしてないのは、2025年には致命的だと思うな。
専門家じゃないけど、このウェブサイト([1] https://dnscrypt.info/faq)を読んで、DNS-over-TLSが暗号化DNSの第一世代、dnscryptプロトコルが第二世代で問題を解決してるって印象を持ったよ。OpenWrtのdnscrypt-proxy2パッケージはDNS-over-TLSをサポートしてないし、ルーターでDNS-over-HTTPSは設定したくないんだ(僕の意見ではHTTPSは複雑すぎるプロトコルだし、ハッキングされるリスクがあるから)。もしかしたら僕の意見は偏ってるかもしれないけど、dns4euがdnscryptをサポートしてないのは本当にがっかりだよ。それだけ。
DoTの欠点リストを見てると、このプロジェクトは人工的な問題を並べてるように見えて、プロジェクト全体を避けたくなるね。TLSは最も理解され、テストされ、よく定義されたプロトコルの一つで、実装レベルで抽象化できるよ。TLS 1.3を強制すれば、ほとんどの問題は解消されるはず。「DoHに対する実用的なメリットが疑問」って言うけど、DoHは完全なTLSスタックとHTTPスタックも持ってるんだよね? DoTの攻撃面が増えるって不平を言う一方で、DoHはそれをさらに広げてるじゃん。DoHリストには「TCPが必要」ってあるけど、少し前にはHTTP/3(UDP)もサポートしてるって言ってたよ。Androidなんかはもう3年前から対応してるしね。https://security.googleblog.com/2022/07/dns-over-http3-in-an…
僕の意見は、PC/ルーターとDNSサーバー間の接続には証明書PKIはいらないって考えに基づいているんだ。DNSサーバーの公開鍵をハードコードか設定するだけでいい。WireGuardやSSHサーバーみたいにね。TLSは理解されててテストもされてるって意見には同意するけど、安心して夜も眠れるとは思わないな。例えば数年前には[1] https://www.feistyduck.com/newsletter/issue_53_certificate_a… や[2] https://www.itbrew.com/stories/2022/12/02/mozilla-microsoft-… でMozillaが不適切な振る舞いをしたルートCAをFirefoxから削除したし。PKIを避ければ、この種の問題は完全に避けられるんだ。だからdnscryptプロトコルの方が好きなんだよね。心配事が少ないし、DNSサーバーを変える時だけハードコード/設定された公開鍵を変更すればいい。ルーターを毎月更新してルートCAストアを最新に保つ必要もないし。毎月ルーターを更新してる?僕はしてないよ。
その点はわかるよ。でもDoTでも同じことできない?公開鍵の代わりに証明書をピン留めすればCAを迂回できるし、パーフェクト・フォワード・シークレシーとかTLSの他のメリットも得られるよ。
ただ、これだと証明書の定期的な更新が必要になるから、メンテの問題は解決しないかもね。
そのやり方で一つ困ったことがあるんだけど、AkamaiはDNSを使ってCDNの適切な部分に誘導するんだ。でも、パブリックDNSから得られるデフォルトサーバーだと僕のISPとのピアリングが最悪でね。だからルーターのデフォルトDNSを切り替えるだけじゃダメで、Akamaiを特別扱いするために自分でカスタムDNSリゾルバーを動かす必要があるんだ。
9.9.9.9は、彼らのブロックリストに対してドメインをテストできる公式ツールを提供してるよ(https://quad9.net/result/)。
あと、9.9.9.10っていうブロックをしないDNSもあるしね(もしブロックしてるなら誰も気づいてないだろうけど、それはありえないと思う)。
DNS4EUはKnot Resolverを使ってるよ。
