PyCon APAC 2023、運営提供のFree Wi-FiがDNSの通信内容を勝手に公開して炎上 98
ストーリー by nagazou
うわあ 部門より
うわあ 部門より
あるAnonymous Coward 曰く、
10月26日から29日かけて開催されたプログラミング言語「Python」の年次カンファレンス「PyCon APAC 2023」において、運営から会場にFree Wi-Fiが提供されたが、そのFree Wi-FiでDNSに名前解決された結果が、リアルタイムモニタと称して利用者の同意を得ないまま会場のモニタやWebで公開していたことが判明、炎上する事態となっていたようだ。
発端となったのは参加者のXに投稿した27日の問題提起のポストで、そこにはグラフィカルなデザインの画面に、DNSに名前解決されたドメインが映し出されていた。ポストによれば、この内容は会場のモニタや、Webページで公開されていたということで、サブドメイン名で接続先が分かってしまうSlackチャンネルのドメインなども映し出されていたという。これに対して、通信の秘密や有線電気通信法、電波法などの違反に該当するのではといった声や、逆にDNSクエリは秘匿情報ではないから勝手に公開してもよいといった声などがあがった。
炎上後の28日に、ドメインの公開は「機材故障のため」に中断されたが、29日に参加者が公開した運営からの回答では「有線電気通信法には抵触しないと考えるが、配慮は欠けていた」「機材故障ではなく公開停止だった」となっており、また29日に公式サイトにお詫び文が掲載されるも「NOCコンテンツの一部につきまして、プライバシーの配慮に欠けた内容が含まれておりました」というのみで事情を知らない人には意味不明な内容であったこともあり、いまだ燻り続けているようだ。
27日の問題提起のポスト (スコア:2, 参考になる)
って見に行ったら消えてるじゃないですか。
なんか問題提起した人が謝罪をさせられるはめになってる模様。
https://x.com/mipsparc/status/1719036550389039260 [x.com]
Re: (スコア:0)
読めないのでもはや闇の中だけど、これは技術コミュニティーの自殺だなぁ。
嫌気で黙って離れてく人が増えて過疎化して滅ぶ感じのやつ。
残ってるのはヤバめの人だけというあれだ。
Re: (スコア:0)
問題提起した人、ちょっとトラブル起こしやすい体質なんだよね…
だから口調とか先入観でこいつが揉めてるなら大したことないみたいに反発されちゃって余計に話がこじれてる
Re: (スコア:0)
なんでこんな謝罪させられてるんだろ
問題提起した側なのに
やり方がまずかったとか?
Re: (スコア:0)
「運営にも言わず後出しで若手を燃やすのは卑怯で無礼だ」みたいな指摘が殺到したから
実際には運営とも相談済みだったけど寄ってきた人がみんな雰囲気で流されて自己責任みたいな空気になって
こいつと責任者の双方が謝罪してプロレスもやってツイートも消しまくる意味分からん流れになった
Re: (スコア:0)
提起された問題って、『DNSはover TLSとかover HTTPSとかで暗号化してないのか?君ら「技術コミュニティ」だろ?』ということでしょうか?
Twitter (スコア:0)
これ? https://twitter.comt/pana_pana_kuma/status/1718749557935218800 [twitter.comt]
Re: (スコア:0)
タレコミ子ですが、昨日この話題見てた時点では、運営の対応の悪さはありつつも、論点はあくまで「DNSの問い合わせ内容を勝手に公開して良いか?」っていう通信の秘密絡みの部分で炎上も終わりかけだったんですけど、なんか今日になって告発者が関係者に嫌がらせされて謝罪してツイ消しみたいになって、また違う方向で大炎上してるんですよね…どうしてこうなった???
Re: (スコア:0)
この件で炎上させようとしたけども、過去の発言を掘られて燃やされかけたって話ですね
PyCon公式から詳細な報告とお詫びが出た (スコア:1)
PyCon APAC 2023におけるNOCコンテンツに関するご指摘について [blogspot.com]
内容自体は至ってまともなもので、最初からこれが出ていれば炎上せずにすぐ終わった感。
もうずっとだんまりを決め込むのではと思っていたので、遅まきではあるもののちゃんとしたプレスリリース出したのは評価したい。
Re:PyCon公式から詳細な報告とお詫びが出た (スコア:1)
指摘後に展示・配信を停止して、最初からこれが出ていればそうだけど…
今の段階で出るものとしては、
- 事前にNOCの人に話が行っていたという点がスルー
- 機材障害と虚偽の説明をしたことがスルー
- 問い合わせを受けたWLCのライセンスについてスルー
- メンバーが通報者の過去のトラブルを喧伝するポストをリポストしたハラスメントをスルー
関係者へのヒアリングが終わってないか出来てないって感じですかねえ。
運営側の広報が不器用 (スコア:0)
許可を得て公開されていた運営側とのやりとり(削除済み)で、PyCon APAC 2023側のそこそこえらい人が
「WLCのライセンスは正規のものか」というclosed questionに対して
「ライセンスについては遵守しております」(ライセンスが正規のものか評価版のものかは明言しない)と
はぐらかすような回答をしていて、広報が不器用だなぁという感想。
ひねくれものだと、評価版のライセンスをそう解釈したのね、とうけとってしまうよね。
Re: (スコア:0)
分かっててやってる姑息さを感じるんじゃなくて、それを不器用と解釈するか。
Re: (スコア:0)
人間を…信じたい!
Re: (スコア:0)
機材トラブルとか、頑なに謝罪しない姿勢とか、告発者へのカバーなく運営側だけ養護する公式声明とか、本当に不器用ですね。
Re: (スコア:0)
高倉健さんのそれとはずいぶん違う「不器用」ですね...
お金を要求されないだけ良心的 (スコア:0)
その辺のWiFiを簡単に信用してしまうカモなんだろうなきっと
Re: (スコア:0)
ふつー、自分でDNSサーバー指定しているよね
といいたいところだが、ブラウザしかWindowsでは設定していないな。
あんまり必要性を感じなくて。
ちなみに1.1.1.1のやつは日本郵便のゆうパック等のサイトにうまくつながらなかったような。
スマホで再配達のサイトのリンクにうまくつながらなかった。
Re: (スコア:0)
こういうことする運営ならDNSサーバを指定したところで平文のDNSの内容を晒してもおかしくない
DoH使わないとダメ
Re:お金を要求されないだけ良心的 (スコア:1)
HTTPリクエストなどの情報をさらすのではなくDNSリクエストをさらす、というちょっとひねったことをしたのは、
HTTPは他人間通信の傍受になるけど、
DNSは、会場に設置したサーバあての正当なサーバリクエスト情報だから、傍受ならないだろ、って判断でしょ。
会場とは無関係な1.1.1.1宛の通信内容を傍受して内容をさらすのがありなら、
HTTPをさらすとかもありになるし、
HTTPSでもVPNでも、その宛先IPアドレスをさらす、なんてことはできますね。
まあ、CDNを使うような大物はIPアドレスだけではどこあてかさっぱり分からなくなるけど
VPNは、IPアドレスだけでもどこのVPNが人気なのかって情報が取れてそれなりに面白そう。
Re: (スコア:0)
DNSサーバの通信相手と内容を公開したと勘違いしてたわ。
平文のDNSクエリを公開したんか
Re: (スコア:0)
DoH使ってもClientHelloのSNIは平文なのであんま意味ないすね
Re: (スコア:0)
へ、DoHなら大丈夫だと思ってた。
検索してみると、Encrypted Client Helloってのがあって、Encrypted Client Hello(ECH)を使ったServer Name Indication(SNI)をブラウザーとDNSサーバがサポートしてればいいみたい。
で、Firefoxがサポートしているかと以下のサイトで確認したら、PC版はサポートしているが、Android版はサポートしてなさそう。なんでだろ。
https://www.cloudflare.com/ja-jp/ssl/encrypted-sni/ [cloudflare.com]
Re: (スコア:0)
SNIはDNSサーバーは関係なさそう。おそらく。
よく公衆Wifiなんか使えるな (スコア:0)
VPNぐらい貼れよ
Re: (スコア:0)
SoftEtherのVPN over DNSでこの展示をハチャメチャおもしろいことにしようとか
さらにヌル暗号使って何か面白い文章を(細切れになるとはいえ)この展示に流そうとか
そういうけしからん人が観測されなかったのが意外
(VPN over DNSでペイロードがクエリ部分に入るかどうかは知りません)
Re: (スコア:0)
俺は常時WireGuard貼るけれど、もし参加していたなら絶対いたずらクエリ流してた
Re: (スコア:0)
仕事するんならともかく、pornhub見るのに一々VPN張るなんて面倒だろ!
Re: (スコア:0)
犯罪自慢ですか
Re: (スコア:0)
何と勘違いしてるんだろうなこれ
Re: (スコア:0)
歌舞伎町の裏DVD屋に居たら逮捕された客とあんたやってること同じなの理解できる?
Re: (スコア:0)
昔は違法アップロードが多かったPornHubだけど、
最近はストリーマーがパートナーとファックしてお金を稼いでるサイトになったと聞いたけど、違うの?
(ちなみに、違法アップロードされたビデオをストリーミング視聴したとしても罪に問われることはない)
Re: (スコア:0)
何の法律に抵触するのか言ってみ?
Re: (スコア:0)
どのVPN使ってるかさらされちゃうやん (´・ω・`)
通信の秘密の侵害で、フツーにFreeWifi運営側が悪 (スコア:0)
指摘したツイ主は別に悪くないのでは?にも関わらず「カンファレンスを善意でやってるんだぞ」とかいうキモい集団こそ裁かれるべき。
Re: (スコア:0)
人気のある集団をタゲるのは非常識。非常識な人間は、タゲって良い。
Pythonねぇ (スコア:0)
最近の全銀のトラブルのときに、「Javaなんか使ってるから駄目なんだ、Pythonで書けばいい」なんて狂人もいたし、どんどんイメージ悪くなるなぁ。
Re: (スコア:0)
両方ゴミだもんなあ
Re: (スコア:0)
Googleの開発した言語だしな。やっぱりNodeJS系かC系がいいな
Re: (スコア:0)
それはGoかDart
PythonはGoogleが設立される前からある。ついでにJavaより古い。
Re: (スコア:0)
Rustの連中よりマシ
Rust厨は他の言語を見ると「このソフトは一般的なプログラミング言語を使っていないから安全上問題がある」とか言い出す
CでもJavaScriptでも何を見てもそうやって不安定版のRustを突っ込んできて引っ掻き回して逃げる
Re: (スコア:0)
じゃあ、やっぱCOBOLか
Re: (スコア:0)
NumPyとDL流行のおかげで覇権ぶってるけど、別に何が優れてるわけでも無いからなあ。
まあオフサイドルールは嫌いでは無いが。
正義の棍棒 (スコア:0)
やったことは倫理的に考えてマズい。
しかし正義の名のもとに何でも叩き殺しゃいいという訳では無い。
そういう血の気の多い人々が、ツイッターやスラドには群生している。
Re: (スコア:0)
運営が謝罪してんのにそういう事言う人は叩き潰していいです
Re: (スコア:0)
停止して謝罪したところで、法律違反しているかどうかについての問題はいつまでも解決してませんから、
本当に綺麗な状態にしたいなら、違法判決覚悟で行為に違法でなかったか確認訴訟して判決取ってくるしかないのでは。
ネット上のツイッターや弁護士の意見で聞いているレベルじゃ棚上げ状態ですよ。
このままほっといたら時効までずっと被疑者呼ばわりですけどね。
何がまずいか言ってみろ(無惨) (スコア:0)
まずい?何がまずいか言ってみろ(無惨)
インターネットに流れる平文通信は公開情報に他ならない (スコア:0)
文句言うくらいなら、暗号化して通信しろ。
ましてや公衆Wi-Fiに繋いでおいて、何言ってんのって感じ。
目的外利用の制限はかなり厳しいらしい (スコア:1)
X上でもいろいろ話が出てるけど、実際のところこの規制はかなり厳しいらしい。
よっぽどの緊急性がある場合のみ辛うじてセーフ、ということらしいので、今回のはまあグレーどころか真っ黒でしょう。
はがきの宛先と本文 (スコア:0)
俺ははがきを使わないね
この国を信用しているから