Wikipedia:井戸端/subj/オープンプロクシの判定基準についての疑義
|
オープンプロクシの判定基準についての疑義
[編集]- これに先立つ議論によって、オープンプロクシであると、一人の管理者が(例示するために)判定した基準が必ずしも認証なしで用いることができるオープンプロクシサーバではないという指摘があった点(誤爆している可能性)
- また、判定基準が十分に明確化されておらず、管理者ごとに異なる基準でブロックしてしまっている可能性
- その誤爆に対して、十分な対応ができていない可能性(利用者側からも、ウィキペディア側からも対照サーバの管理者と十分なコミュニケーションが達成されず、結果的に放置されているIPアドレス群が存在している可能性, 少数なのか多数なのかは不明)
- 単にある時期特定のポートが空いていたということが判定されただけで、無期限のブロックがなされているケースがあるようですが、想定される被害と、対応の副作用の検討が十分なされていないようです。
上記4項が指摘されたこと、ならびにWikipedia‐ノート:管理者の辞任において、オープンプロクシ自動判定Botを運用していた管理者の自動退任について議論がなされていること(今後、複数の管理者の人力判定によるブロックが増加する可能性があること)を踏まえて、緊急に改善策についての議論されることを提案します。--වෙ 2010年6月6日 (日) 00:08 (UTC)
コメント වෙさん、的確な問題点の提起ありがとうございます。本件当初私が指摘したかった具体的問題ではありますが、技術的に疎くどう表現するべきかのノウハウを持たなかったもので、当方の投稿においてはもっと広い範疇でのWikiのシステムの問題提起として議論を終了させていただきました。今後本件に対してなんらかの具体的進展があることを願っております。--Absoljustice 2010年6月6日 (日) 05:08 (UTC)
- 「単にある時期特定のポートが空いていた」ということですが、その指摘は本当に正しいのでしょうか。単に特定の番号のポートが開いていることだけ見てオープンプロキシかどうかは判定できませんので、通常はなんらかのリクエストを投げてその結果も勘案するものなのではないでしょうか。
- 例にあげられている管理者については、実施者の利用者ページに丁寧な説明があり、「サイトの運用者が気づかずオープンプロキシになっている場合」については想定して作業しているということのようです。このようなサイトが実際に第三者に悪用されるおそれはあるわけで、それをブロックするのがいけないということはないです。
以上の点については、事実を確認しないとなんともいえません。
- たしかにオープンプロキシなどを期限なしのブロックとする管理者もいます。しかし、「無期限ブロック」というのは永遠にブロックを解除しないという意味ではないです。ブロック解除の期限をあらかじめ定めないという意味での「無期限」です。
- IPアドレスに対するブロックの多くは、ログインすれば回避できます。自分の使っているアドレスレンジがブロックされたからといって編集ができなくなることはないです。また、閲覧するだけならなんの影響もないです。
ブロック後の対処についてですが、そのアドレスやアドレスレンジを管理している当事者から問い合わせがあって、オープンプロキシでなくなっていることを確認できれば、解除する、でも問題ないでしょう。--- 考えてもみてほしいのですが、よそのサイトのアドレスをブロックしたからといって、その後そのサイトを常時モニタし続けて、問題がなくなったらすぐ解除する、なんていう手間をかける義理があるでしょうか。また、そんなことができるほどの人的リソースがどこにあるというのでしょうか。
あと付け加えると、IPアドレス空間の広大さにくらべて、ウィキペディアでブロックされているIPアドレスやアドレスレンジなんて微々たるものです。「いつかほとんどのアドレスがブロックされてしまう」というような危惧をいだいているかたがもしもあるのなら、それは杞憂とおもいます。
でまあとにかく、事実関係おさえないと、話はすすまないかな、と。 --Hatukanezumi 2010年6月6日 (日) 07:04 (UTC)
- コメント
- ≪通常はなんらかのリクエストを投げてその結果も勘案するもの≫でしょう。そして、上の節に挙がっていたケースで実際に試してみると、少なくとも「210.147.5.201:8080」は現時点では認証プロクシサーバのように見えました(PC-UNIXであれば上に挙げたコマンドで検証可能、Netcatのバージョンで若干引数が異なるかもしれませんが、FreeBSDなら上記そのままでいけるはず)。当時はオープンだったのかもしれませんし、今もその認証情報がどこかで流通しているためにオープン相当なかもしれません。しかし、その当時にどこまで確認したか、一般的なブロック権限行使としてどこまで確認しているかが公開されていない以上、後は丁寧な説明がない限りは何とも言えないでしょう。
- ≪実施者の利用者ページに丁寧な説明≫がどなたのことか判りませんが(「210.147.5.201」のブロック実施者は海獺さんだと思っていますが、海獺さんの利用者ページには説明はないです)、仮にTietewさんの利用者ページにある「Wikipedia:オープンプロクシとして投稿ブロックされた方へ」水準の説明だとすれば、「どこまで確認しているか」という情報が含まれていない以上は、ブロック権限行使内容の第3者検証はできませんし、権限行使に対する評価もできませんから、到底≪丁寧な説明≫とは思えません。
- ≪「無期限ブロック」というのは永遠にブロックを解除しないという意味ではない≫ことは当然でしょう。しかし、ブロック解除依頼がなければ10年後も20年後も継続してブロックされ続けるというのが実際のところではないでしょうか?過去に「無期限ブロック」された後で、「ブロック要因がなくなった」という状況変化に伴って裁量で、あるいは自動的にブロック解除されているわけではないでしょう。「Wikipedia:投稿ブロック依頼/AIR-EDGEの割り当て範囲と思われるIPレンジ群 解除」を見る限りそんな状況ではなさそうに思います。≪そんなことができるほどの人的リソース≫がないからこそ有期限ではどうかという話が出ていると思っています。
- ≪IPアドレスに対するブロックの多くは、ログインすれば回避できます≫が、それは既にある程度Wikipediaに慣れた人の話でしょう。新規参入者の場合は、そういった事情を調べ、何らかの方法でアカウント作成を行い(当のブロックされているIPアドレスからはアカウント作成できませんよね?アカウント作成のブロックも掛かっているでしょうから)、あるいはブロック解除依頼をMLに申請して受理され、それで初めて編集可能となるのではないでしょうか?そこまでする新規参入者は皆無だろうと思います。そしてその方向性は、「基本方針に賛同いただけるなら自由に編集可能」という方向性とはかなり違うと思っています。
- ≪でまあとにかく、事実関係おさえないと、話はすすまない≫とは私も思います。およそ、ブロック権限行使者からの情報がないと話は進まないでしょうね。それが期待できる状況なのかどうかはよく判りません。前節でも海獺さんは、各論、個別論はブロック解除依頼へという誘導をされていますが、総論については触れる様子がなさそうですし。--NISYAN 2010年6月6日 (日) 08:06 (UTC)
- コメント 「説明」については「オープンプロクシ自動判定Botを運用していた管理者」のことを想定しているので、それを見てください (いま、なんやらややこしい投票をやっているので、名指しを避けます)。まあとにかく、「あなたはそう言うが、ほかの例にはあてはまらないようだ」とかいうやりとりは、水掛け論になります。客観的に事実関係を把握し、余分な想像は排して議論しませんか。
- あと、この手の話でよく対立点になることについて。
- わたしは、自サイトや自ネットワークの安全を保つために予防的にアクセス制限をすることはかまわないとおもっています。某国みたいに国家が全国民に対してやるのはだめですが、私的なサイトがやるのはそのサイトの自己決定の問題です。
- オープンプロキシをブロックしたのに対して、対象ネットワークの管理者から問題を解消した旨の連絡を受けて解除した例は、少なからずあります。wikija-lメーリングリストの過去ログをご覧になれば一端がわかります。この点も、想像を排して事実をおさえてください。
- いっぽうで、「うちからウィキペディアの編集ができなくてもかまわない」というネットワークもあるわけです。たとえば、社員がいたずら投稿をしたために会社のIPアドレスがブロックされ、担当者 (投稿者とは別) が問い合わせてきたものの、事情を聞いて「すみませんでした。ならばブロックしたままでいいです」となった例もよく見聞きします (えーと、どこかに実例があったんでそのうち探しときます)。ブロック後に「ブロックしましたが、おたくのネットワークではウィキペディアを編集したいですか?」とかいちいち聞くのもおかしな話です。必要ない組織 (インターネットユーザのほとんどすべてはそうです) にとっては、そんなこと聞かれること自体迷惑です。(繰り返しになりますが) 閲覧はできるんですから、利用に支障はないわけですし。
- 要するにブロックというのはサイトの都合でやってるものであって、世間様がそのことについて説明を求めているわけではないのです。それに (再度念押しですが)、ブロックされるとまったく利用ができなくなるわけではありません --- そんなブロックのしかたは普通しません。
- 「他人に迷惑をかけるな」という道徳というのは、それ自体は正しいですが、対象の状況を抜きにして (あるいは、「世間一般」に対象を拡大して) それを言っても単なる空論です。そういうのは冷静な議論のさまたげになります。 --Hatukanezumi 2010年6月6日 (日) 14:29 (UTC)
- コメント
- 「オープンプロクシ自動判定Botを運用していた管理者」ということであれば、「Wikipedia:オープンプロクシとして投稿ブロックされた方へ」水準の説明ってことになると思いますし、そうなると(既に上に書いてあるわけですが)、到底≪丁寧な説明≫とは思えません。一応書いておくと、そこの投票のノートで、私はブロック内容(誤認の可能性がないこと)に対して疑問を感じている旨を表明しています。
- ≪オープンプロキシをブロックしたのに対して、対象ネットワークの管理者から問題を解消した旨の連絡を受けて解除した例≫なんて話を私はしましたっけ?私は「新規参入者」を対象に話したつもりです。「新規参入者」が対象ネットワークの管理者に問い合わせて解除したケースなのもしれませんけど、もしそうなら巻き添えを受けた人は大変でしたね。その労力はたまたまそのネットワークを選択した「新規参入者」が負うべきということなのでしょうね。
- ≪社員がいたずら投稿をしたため会社のIPアドレスがブロックされ≫て、その会社が≪ならばブロックしたままでいいです≫と言ったとして、その会社が今後もずっと同じIPアドレスを使うとは限らないでしょう。身近にそんなケースを見たことがあります。極端な話で挙げれば、プロバイダが固定IPを割り当てている先の会社が倒産したらそうなります。じゃあその会社が使っていたIPアドレスが未使用となり、別の団体なり個人なりが使用することになったとして、そのIPアドレスがブロックされたままであれば、新規参入者が巻き添えブロックされることになりませんか?あるいは以前の会社が使っていたIPアドレスが未使用になることを、その会社がわざわざ報告してくれるのを期待している?
- ≪他人に迷惑をかけるな≫というようなつもりはなく、「Wikipedia:井戸端/subj/ウィキペディアの編集者が減少している(ような気がする)」(つまりはWikipediaの今後の発展の妨げになるか)のようなことを考えているのですが、そういうようなことが杞憂だと思っている人や「今の参加者だけで充分」と思っている人や「巻き添えを受けた人は大変でしたね」で今後も済ませばよいと思っている人が多数派であれば、現状維持も一つの選択でしょう。「リダイレクトの作成と削除の繰り返し(リダイレクト削除常連者はリダイレクト作成の方針について声を挙げようとしない)」もそうですし、「ブロック実施者と、巻き添えブロック者とのトラブルの繰り返し」もそうですし、そういう繰り返しは不毛かなって私は思うだけです。--NISYAN 2010年6月6日 (日) 15:43 (UTC)
- コメント
- >単にある時期特定のポートが空いていたということが判定されただけで、無期限のブロックがなされているケースがあるようですが、想定される被害と、対応の副作用の検討が十分なされていないようです。
- 実際そういうことがあり、指摘を受けました。利用者:hyolee2/韓国からのIPに対するブロック対処法に書いておきました。--hyolee2/H.L.LEE 2010年6月6日 (日) 23:26 (UTC)
IPアドレス空間の広大さにくらべて、ウィキペディアでブロックされているIPアドレスやアドレスレンジなんて微々たるものだという理屈なら、誰かが好き勝手ブロックしても別によいわけです。実際のところ、Tietewさんがブロックされた内容だけをみても何千人かの利用者がオープンプロクシとみなされてウィキペディアに参加できなかったわけ( 仮に他のブロックされていないコンピュータから接続を試みた利用者がその中に一割いたからどうという問題でもないでしょう。)で、そのうちの何人が実際にプロクシを悪用してウィキペディアを攻撃しようとしていたのかは興味深いところです。一方、NISYANさんやH.L.LEEの指摘されたケースが希に起きるミスであるということなら、それほど頑張って追求する必要もないかもしれません。
過去のブロックを検証する人的リソースもないという一方で、人的リソースの流入を拒絶することを放置するというのは皮肉なことです。特定のアルゴリズムで自動処理できるのなら、その検証も同じ方法で自動処理できることなので、 リソースが足りないなどというほどに過度に大変な問題でもありません。
というわけで、以下の検証作業が可能だと思います。
- 実際に誤爆があるらしいという指摘を勘案して、たとえばNISYANさんやhyolee2さんの基準でスキャンして、何%・何件の誤爆があるのか数えてみること、(オープンプロクシとしてブロックされたアドレスのリストがあれば容易に自動処理できるでしょうし、手動でもサンプル調査ができるでしょう。取り急ぎ、私が50件手作業で調べた範囲では10件程度の誤爆があるようだということを報告します(現時点ではどの管理者の判定の評価なのかは伏せておきます))
- オープンプロクシの判定には通常はなんらかのリクエストを投げてその結果も勘案するものであるという点について実際にそのような運用がされているのか、あるいはそうでないのかを実際にオープンプロクシの判定によってブロックされている管理者から告白していただくこと,(明らかに誤爆だらけだと判明するなら、わざわざ数え上げるまでもなく改善プロセスに移行できるでしょう)
- 彼らが不十分な手順でブロックに至っていたのであれば、現在もブロックされているアドレスの追認作業ならびに今後のブロックにあたっての手順の明確化
--වෙ 2010年6月7日 (月) 23:20 (UTC)--වෙ 2010年6月7日 (月) 23:23 (UTC)補記
- コメント なんか認識の相違があるようにおもうんですが、
- hyolee2さんのようなノリッジが提供されれば、オープンプロキシ判定の精度が上がりますね。しかしこれは「この方法では誤判定する」という話であって、「ほかのプロキシ判定も誤認だろう」という話にはならないです。
- 「誤爆」と言われているものが、過去にオープンプロキシで現在はそうでないものである可能性を考えてみましょう。すると、期限を切ってブロックするというのは賢明なことです。
- 無期限ブロックですが、わたしの知る限り、いきなり無期限ブロックしている例ってめったにないんじゃないかとおもいます (携帯電話のネットワークに対しては、無期限の編集ブロックをすることになっています〔H:SPC#編集に適さないブラウザ参照〕。ただこれはオープンプロキシじゃないし、また、解除しないという意味の無期限ですが)。具体的な事例をあげてみてもらえますか。わたしも調べてみますから。
- また、問題があるかもしれないとおもうのなら、検証してどうするか考えるなんて悠長なことを言ってないで、ストレートに「再検証してもはやオープンプロキシでないと判明したIPのブロックを解除するボット」を作って運用すればいいんじゃないでしょうか。そういうことをしたいから管理者になりたい、と言って立候補するのなら、わたしは賛成票を入れるよ (自分ではやるひまがないので、お任せします)。
- それと、「基準の説明がない」という前に、井戸端の過去ログなんかをさらって、説明がないか調べてみたらどうでしょう。それでも十分な説明がないとおもったら、あらためて聞けばいいんじゃないでしょうか。ちなみにわたしは、この種の判定の基準を非公開にする理由なんかないとおもっている。
- とにかく、議論は抽象的にではなく、具体的にいきましょう。 --Hatukanezumi 2010年6月8日 (火) 15:11 (UTC)
いや、「この方法では誤判定する」という話であって、「ほかのプロキシ判定も誤認だろう」という話にはならないなんてあたりまえのこと言われても困りますよ。特定の管理者について、誤認率が高いなんてことを議論しようとしてるわけじゃないです。そんなことはすでに把握していますし、単に投票をやっているから、名指しを避けるとHatukanezumiさんがおっしゃっているから配慮しているに過ぎません。ちなみにそういう意味では、(公平を期すために、)投票に関連する管理者以外の方にも問題のある管理者はいるということを追記します。実際、その特定の管理者を弾劾したかったわけではなく、単に自動処理されたログがあるからチェックしやすかったというだけです。
問題なのは、管理者ごとに判定基準が違っていて、そのせいでひどく誤認をしている管理者と、そうでない管理者がいるかもしれないということでしょう。さらに、無期限ブロックの説明として本来の説明を省略して、「オープンプロクシの疑い」があるからという名目を立ててブロックを実施している管理者もいるとすればそれも問題でしょう、Hatukanezumiさんのおっしゃるように、単にオープンプロクシだからといっていきなり無期限ブロックしている例なんてめったにないと思います。でも、無期限ブロックの説明として主たる原因の説明を避けて、「オープンプロクシの疑い」があるからという名目を立てていきなり無期限ブロックしている管理者がいたら、そんな管理者は説明能力がないと言われても仕方ありません。
さて、必要なことは、オープンプロクシの判定基準をあまりネットワークに詳しくない管理者にも理解できるように明文化することではありませんか?それが明文化されてもいないのに、個々の管理者の責任を問う必要はないと思うのですが、そちらに話題を展開すべきでしょうか??--වෙ 2010年6月8日 (火) 16:36 (UTC)
- コメント 具体例を挙げて話しましょうと言っています。すべての管理者によるブロックは、MediaWikiのログに残り、すべてのひとに公開されています。「問題のある」とか「無期限ブロックしている」とか考えられるブロック記録へのリンクを挙げてみてください (網羅しなくていいです。代表例を挙げてください)。そうしたらわたしも調べてみましょうと言っています。問題を具体的に提示しないで解決策を話しても、役に立つ結果をだせるとはおもえません。 --Hatukanezumi 2010年6月8日 (火) 22:22 (UTC)
- コメント≪問題を具体的に提示≫を要求するのであれば、この件について今後は「名指しを避ける」とかいったようなことは止めていただきたいです。後、例示するとしても、それはその対処を行った管理者の判断がどうこうというわけでもないことを念のために書いておきます。そもそもが決まった判断基準がないのではないかというあたりがあるように思えますし。
≪何%・何件の誤爆があるのか数えてみること≫という話はもうちょっと調べさせてください。ただざっと見るに、6月頭の日付というごく最近のものについてSOCKS proxyを理由にブロックしたのだろうと思われるもの(Web検索すると1080が開いているとされているもの)について、閉じているように見えるものがそこそこあり、1つの傾向と感じました。
≪問題のある≫の個別ケースについては「IP:202.29.137.147(会話 / 投稿記録 / 記録 / Whois)」さんのケースはどうでしょう?Web検索上は、前記のSOCKS proxyらしいのですが、1080は閉じられているように見えますし(SYNスキャン上はclosedではなくfilteredの模様)、私には他のポートを含めて開いているポートがどれであるかを特定できませんでした。「対処時は開いていた」という可能性はどこまでもつきまといますが、ごく最近の対処ですのでその説得力は弱いです。botによる自動ブロックの判断時の状況がログに記録されていて、「対処時は開いていた」ことを確認できるものがあるならいいのですが、それが残っているとしても、対処管理者への質問がWikiMailでしか行えない現状では、それを第3者検証可能な形で示してもらうことは困難な気がします。
≪無期限ブロックしている≫については「IP:201.36.178.77(会話 / 投稿記録 / 記録 / Whois)」さんのケースはどうでしょうか?botによる自動ブロック(6箇月)の後、他の管理者さんによって9分後に無期限ブロックに変更されています。投稿内容(記事)に対する対処に疑問はありませんが、ブロックについて、対処ログ上は「{{blocked proxy}}」を理由として無期限化されています。その無期限化の妥当性には、ここまで何度か書いている通り、疑問を感じています。--NISYAN 2010年6月9日 (水) 00:16 (UTC)- コメント ちょっとたてこんでるので、とりあえずひとつめだけ。
- SOCKSなの……? このIPアドレスでググってみると、2010-05-23現在、あるいは2010-06-07現在、HTTPによるオープンプロキシと判定されたという情報がみつかります (当然、jaWPで動いてる件のボットとは独立した判定ですね)。HTTPプロキシなら、ハッカー気取り未満の厨房にも簡単に使えるから、ふさぐメリットも大きそうです。それに、わたしが「ポートが開いてるかどうかだけじゃなく、リクエスト投げてみないとわからんだろ」と言ってる理由も理解いただけるとおもいます (だからといって、自分でリクエスト投げてみるのは控えてください>>これ読んでる人)。 --Hatukanezumi 2010年6月9日 (水) 11:15 (UTC)
- コメントご確認いただけたようでありがとうございます。そうですね、今なら繋がるようですね。私の前回の発言の直前のタイミングでは、nmapでデフォルトのチェック対象ポート(当然80も含む)全てfilteredだったのですが、どうやらnmapの過剰アクセスで一時的に全rejectされていたようですね。そもそもブロックログにはどのポートがプロクシとして機能すると判定したかが記されていないので、ポート番号を広範囲に確認しようとしたのが仇となったようです。もう少し落ち着いて確認してみます。ブロックログにどのポートがプロクシとして機能するかが記されていると、管理者権限行使に対する第3者検証ももっと容易になるわけですが。
念のために確認しますが、≪わたしが……と言ってる理由も理解いただけるとおもいます≫の問いかけ先は、私ではないですよね?私でなければいいのですが、書いてある場所が場所だけに、一応確認させてください。--NISYAN 2010年6月9日 (水) 12:35 (UTC) 作ったので一応リンクしておく --NISYAN 2010年6月12日 (土) 08:35 (UTC) - コメントbot対処管理者さんの説明資料を拝見致しました。「新着ベース」「HTTPプロクシ限定」「対象ポートは100程度」あたりの情報まで説明いただいているので、充分説明足り得ます。ここまででの情報があれば、私が誤検出と考えているものは、どれも「私の調査時に、過剰アクセスなどが原因でrejectされてしまっているがために、問題のポートが閉じられてしまっており、結果、私が偽陰性判定してしまった」可能性が高いようですね。ひとまずプロクシでないと思ったものについて、上の情報を考慮の上で再調査してみます。後は、「問題のあるブロック」の例には、このbotを使用しない手動ブロックから事例を持ってきたほうが良さそうなので、そこから持ってこようと思います。しばらくお待ちください。--NISYAN 2010年6月10日 (木) 00:46 (UTC)
- コメントご確認いただけたようでありがとうございます。そうですね、今なら繋がるようですね。私の前回の発言の直前のタイミングでは、nmapでデフォルトのチェック対象ポート(当然80も含む)全てfilteredだったのですが、どうやらnmapの過剰アクセスで一時的に全rejectされていたようですね。そもそもブロックログにはどのポートがプロクシとして機能すると判定したかが記されていないので、ポート番号を広範囲に確認しようとしたのが仇となったようです。もう少し落ち着いて確認してみます。ブロックログにどのポートがプロクシとして機能するかが記されていると、管理者権限行使に対する第3者検証ももっと容易になるわけですが。
- コメント ふたつめ。やっぱりググっただけですが。
- これ、スパムボットになってますね。ここ1日以内に更新された複数のDNSブラックリストにまだ掲載されています (ホワイトリストには掲載ありません)。また、「comment spammer」と判定しているDNSBLもありますから、SMTPだけでなくHTTPを中継するのにも使われている。こんなのがまともなプロキシなわけがない。ゾンビ化しているかどうかまではちょっとわかりませんが、ちゃんと管理がされていないホストです (ADSL回線に接続されているらしいので、だれかの個人宅にあって、そもそも管理するひとなんていないのかも)。
- ホストを設置したひとに連絡を取って電源を落としてもらうことはおよそ不可能ですから、とりあえず無期限ブロックするしかないじゃないですか。 --Hatukanezumi 2010年6月9日 (水) 14:54 (UTC)
- コメント現状のブロックの妥当性についてはほぼほぼ同じような印象を持っていますが、無期限とすること、つまり、そのブロックが解除依頼が出ない限り10年後も20年後も同じ理由でブロックされ続けるのが妥当だ(ブロックの自動解除の仕組みがない以上は、無期限ブロックするということはそういうことです)とする理由が見えません。botによる6箇月ブロックの解除後に依然ブロックが妥当とする理由が残っているなら、再度botで6箇月ブロックをすれば充分だと思っています。ブロック解除期間という間隙を突くような攻撃があるかもしれませんが、それはこの特定のIPに限定したことではないし、(攻撃者視点で考えれば)わざわざそのタイミングに合わせてこのIPアドレスを使うような面倒なことをする人はいないでしょう。Hatukanezumiさんの意見からは、現状のひどさは見えますが、無期限の妥当性は全く見えないです。--NISYAN 2010年6月9日 (水) 15:25 (UTC)
- (補足)「botによる自動ブロックのうち、ブロック期限が迫ったものについて、依然ブロックが妥当とする理由が残っているなら、ブロック期間を延長する」とでもすれば、≪ブロック解除期間という間隙を突くような攻撃≫の心配はありませんね。--NISYAN 2010年6月9日 (水) 15:31 (UTC)
- コメントbot対処管理者さんの説明資料を拝見致しました。botによる有期限ブロックがブロック期限切れとなり、そのIPアドレスが依然オープンプロクシであり、そのオープンプロクシ経由での投稿があれば、再度ブロックされるということを理解しました。それであれば、現状のままでも、問題投稿があったら再度botによってブロックされるわけですから、わざわざ無期限で掛け直す必要はないのではないでしょうか?
一時的にブロックが解除されるのが嫌であれば、botによるブロックで無期限とするよりは、botでのブロックを有期限のままとして、「このbotの対象ノード条件を、新着から持ってくるのではなく、ブロック期限が迫っているもの、という条件に変更したもの」を誰か管理者さんの上で走らせれば、前記の対処になり得ると考えますし、それは、無期限のデメリットを緩和する1案になろうかと思います。新しい≪再検証してもはやオープンプロキシでないと判明したIPのブロックを解除するボット≫を1から作成するよりは、現状のbotをコピーして改変するほうが、よりよいのではないかと思います。
その妨げとなるのは、bot対処管理者さんが改変のためにbotを他者管理者さんにお渡しいただけるかと、誰の管理者権限で動かすか、といったあたりくらいかと。なお、私が動かすという選択肢はなしで。Hatukanezumiさんの信任票だけで管理者になれるとは思えません(私がコミュニティの信任を得られるとは思っていません)ので。現行の管理者さんどなたかのところで動かしていただくということで。あるいは、現行の管理者さんで動かしていただける人がいないなら、現状のまま(問題投稿があったら再度botによってブロックされる)でもいいのではないでしょうか?--NISYAN 2010年6月10日 (木) 00:46 (UTC)
- コメント≪問題を具体的に提示≫を要求するのであれば、この件について今後は「名指しを避ける」とかいったようなことは止めていただきたいです。後、例示するとしても、それはその対処を行った管理者の判断がどうこうというわけでもないことを念のために書いておきます。そもそもが決まった判断基準がないのではないかというあたりがあるように思えますし。
- まず、上のふたつめの実例が、どんな状態であるか理解しておられますか。管理されず放置されたホストが、外部者によって好き勝手に使われ、詐欺商法のメールだのコメントスパムだのを送り出しているのです。その原理がオープンプロキシであるために、ウィキペディアへの不適切な方法でのアクセスにも使われているというわけです。
- 本来の利用者にほとんど、あるいはまったく利用されていない状態です (というか、利用者がいないからこそ管理されず放置され、だれもそのホストが問題をおこしていることに気づかないわけですが)。これは、ひとつめの実例でも同じです。
- ブロック期間について述べます。
- 例に挙げられた管理者の説明を読む限り、あるIPアドレスが検査の結果ブロックされる期間 (6箇月) と、それが再度検査されるまでの期間は異なります (わたしは、これは妥当な設計だとおもいます)。つまり、ブロック期間が終了してからしばらくの間は、そのIPアドレスからアクセスがあっても検査はされないことになります。この点について、別のボットを動かすことで解決したいとおもうのなら、そうおもうかたがやればよいでしょう。
- それと、無期限ブロックが、ウィキペディアの歴史よりも長くブロックされるとか、まして永遠にブロックされるとかいう意味ではないことはすでに説明しました。NISYANさんはこの点を意図的に無視しておられるようです。
- 最後に、なにが言いたいのやらわからないとおもう点を述べます。
- すでに「誤認識があるのなら」という仮定は説明によって払拭されたものとおもいます。また、上でわたしがしたように、管理者権限がなくても第三者検証は可能です。この意味で、説明は十分にはたされたと言えます。なおも代替手段にこだわる理由がわかりません。
- 上で述べたように、オープンプロキシになっているようなホストからのアクセスに、本来のユーザはほとんどいません (東南アジアの研究機関や、南米の一般家庭や中小企業から編集しにくる可能性は、さらに小さくなるでしょうね)。
NISYANさんは、その利用者の新規参入を阻まないために、ほかの大多数の (不正な) 利用者のアクセスを容認せよと言っているわけです。
- ちょっとわき道。わたしは、オープンプロキシを使うことが全面的にいけないとはおもいません。正確に言うと「匿名プロキシ」を使うことが、ですが。--- ウィキペディアの方針である「検証可能性」や「中立的な観点」にしたがって記事を書くことが、筆者の自由やときには生命まで危機にさらすような状況、またそういう状況を許す社会が、現にあります。そのような場合に、匿名性を確保するためにプロキシなどの技術を使うことまでは、否定すべきではありません。--- しかしまた、そういう必要があるひとなら、上の例に挙がっているような違法・脱法的なプロキシを使うことは避けるでしょう。自分の身がよけい危なくなります。
- でとにかく、NISYANさんがここで主張し、得ようとしていることというのは、説明したとおりウィキペディアのポリシーに真っ向から反することです。いままで発言してきたことだけでも、多くのひとが今後NISYANさんの意見にまじめに耳を傾けなくなるくらいのことです。ほんとうにいったい、なにを考えて発言しているのですか。 --Hatukanezumi 2010年6月10日 (木) 11:12 (UTC)
- コメントまず《無期限ブロックが……まして永遠にブロックされるとかいう意味ではない》という点について。それは理解しています。しかし、6箇月ブロックを無期限ブロックにするというのは、ブロック期間の延長と、私は考えています。どちらのブロック期間であってもブロック継続事由が消滅してブロック解除依頼が通れば、その時点でブロックは解除されます(利用者のブロックでは「一定期間は解除しない」という意味を持たせる場合がありますが、この節に挙がっている「6箇月ブロック」は「6箇月間は絶対解除しません」という意味ではないはず)。どちらのブロック期間であっても、ブロック解除依頼が出されなければ6箇月間、ブロックされ続けます。6箇月と1日(厳密なタイミングは把握していませんが)経過時点で、それまでにブロック解除依頼が通らなかったとしても、6箇月ブロックは自動解除され、無期限ブロックはブロック継続されます。前2パターンでは同じ結果となり、後1パターンでは無期限ブロックのほうがブロック期間は長いのです。私はこの状況から、6箇月ブロックから無期限ブロックへの変更はブロック期間の延長と考えているわけですが、この認識はHatukanezumiさんの認識と合っていますでしょうか?
botによる6箇月ブロックが行われ、その6箇月が経過した時点でなおそのIPアドレスがブロック事由を持ち続けている(つまりは、そのIPアドレスが問題となったネットワーク機器に依然割り当てられており、依然オープンプロクシであり続けている)と予想する根拠はありますか?私は6箇月ブロックの初日(201.36.178.77さんのケース)にそのような判断は行えないと考えていますが、そういう根拠があるなら、そしてその根拠がブロックログなどに提示されているなら、期間延長も妥当でしょう。逆に、botブロック者が選んだ6箇月ブロックという管理者判断を、根拠の提示もなく他の管理者が覆すのは妥当でないと考えます。ブロック期間延長を行った管理者さんじゃなくHatukanezumiさんで構いませんので、6箇月ブロックの初日時点で、6箇月後もブロック事由を持ち続けているとする判断材料、botブロック者の判断を覆してもよいとする根拠を説明できますか?
このあたりが共通認識にならないと、話が通じないのは当然だろうと思います。--NISYAN 2010年6月10日 (木) 13:03 (UTC)
- コメントまず《無期限ブロックが……まして永遠にブロックされるとかいう意味ではない》という点について。それは理解しています。しかし、6箇月ブロックを無期限ブロックにするというのは、ブロック期間の延長と、私は考えています。どちらのブロック期間であってもブロック継続事由が消滅してブロック解除依頼が通れば、その時点でブロックは解除されます(利用者のブロックでは「一定期間は解除しない」という意味を持たせる場合がありますが、この節に挙がっている「6箇月ブロック」は「6箇月間は絶対解除しません」という意味ではないはず)。どちらのブロック期間であっても、ブロック解除依頼が出されなければ6箇月間、ブロックされ続けます。6箇月と1日(厳密なタイミングは把握していませんが)経過時点で、それまでにブロック解除依頼が通らなかったとしても、6箇月ブロックは自動解除され、無期限ブロックはブロック継続されます。前2パターンでは同じ結果となり、後1パターンでは無期限ブロックのほうがブロック期間は長いのです。私はこの状況から、6箇月ブロックから無期限ブロックへの変更はブロック期間の延長と考えているわけですが、この認識はHatukanezumiさんの認識と合っていますでしょうか?
- コメント もうコメントしないつもりだったけど、あぶなっかしくてしょうがないので忠告しておきます。
- 自分で対象ホストにアクセスして確かめるのは、どうかやめてください (やるにしても、そんなことを公言しないでください)。
- 上のわたしの説明を敷衍すると、ハニーポットになって中の人がだれかもわからないホストになってるかもしれないんです。そういうものにやたらアクセスするもんじゃない。そういうことは、ちゃんとした対策をとってやらないとだめです。それ以上に、そんなことをやってるのを見たひとが、まねをしてなにか被害をうけたら、どうするつもりなんですか。
- もうひとつ。「誤爆」とおっしゃってた件も、もとの議論のページをみたら、あるポートを見当つけて調べただけじゃないですか。それで大丈夫だったと判定をくだすことを「偽陰性」(false negative) と言うんです。自分の能力を過信しすぎです。あなたが上で言ってるアクセス不能は偽陰性じゃなくて、「欠測」として判定を保留すべき状況です。
- わたしがググるだけですませたのには、以上のような理由が大きいです。しかしそれだけが理由ではありません。複数の情報を総合しないとまちがうという理由も大きいです。
- 上で述べた例だと、ひとつめの例についての情報では、複数回の検証を行ってそのうち何回が陽性、最終的に陽性と判定されたのはいついつ、というかたちで情報が提供されていました。しかも、そういう情報を複数みつけたので書きました。ふたつめの例は、複数のブラックリストについて情報の最終更新時期や、更新の頻度を含めて見ないと意味がありません。
- いったんオープンプロキシでなくなった (なにかほかの問題でもいいです) と判断されてもそのあと元にもどってしまった、なんていうことはよくあります。また、あなた自身が問題にしてきたことの反対解釈として言えば、誤診によって安全になったと判定してしまうことだって、当然あるんでしょ?
- そういうわけで、すぐ上のあなたの質問に回答する意味はないと考えています。期限を厳密に区切って確実に対策を解除しようという考えかたは、ネットワーク上でのセキュリティ対策にはかならずしもなじまないのです。結局回答しちゃったよ。じゃあね。 --Hatukanezumi 2010年6月10日 (木) 17:16 (UTC)
- IPさんに対する無期限ブロック(のブロック期間)について相互に理解できているかを話し合う意思がないなら、≪無期限のブロックがなされているケースがあるようですが、想定される被害と、対応の副作用の検討が十分なされていないようです≫という議題について、これ以上話し合いをする資格はないであろうと思います。その議題からはお引き取りください。--NISYAN 2010年6月10日 (木) 19:26 (UTC)
- コメント 本当に言いたいことがわからないんだが。
- オープンプロキシのブロックは利用者をブロックしているんではなくて、プロキシをブロックしているんですよ。利用者の公平の話と結びつけるのがおかしい。「オープンプロキシを使えるようにしよう」という話をしているんじゃないでしょうが。
- こう言っても、どうやらわかってもらえそうにないんで、もういいです。さようなら。 --Hatukanezumi 2010年6月11日 (金) 03:54 (UTC)
さて、無期限ブロックの話について、ここまでの話を踏まえると、botによるブロック対象IPさんのブロック期間を無期限化するケースでは、≪単にある時期特定のポートが空いていたということが判定されただけ≫という前提については疑問が残るようだと言えます。手動でいきなり無期限ブロックというケースもあるかもしれませんが、それらを区別する必要もないでしょうから「ある時点でオープンプロクシであると判断されたことだけを理由に」という前提に置き換えて≪無期限のブロックがなされているケースがあるようですが、想定される被害と、対応の副作用の検討が十分なされていないようです。≫という議題で話を進めればよさそうです。続けてご意見をお願いします。--NISYAN 2010年6月10日 (木) 19:26 (UTC)
- その議題では「無期限ブロックの是非」というのと違いがなくなります。ちょっと冷静になったほうがいいと思います。
- この議論の最初の議題については、プロキシに限定しないとそもそも議論が成り立ちません。あるIPで接続している利用者のとった行動が無期限ブロック対象かどうか、あるいはあるIPを問題ある人が使い続けているかどうかを判断する一般的な方法が無いのは明らかですから。プロキシの場合には、あるIPが公開プロキシとして利用されているかどうか、公開プロキシとして利用されつづけているかどうかをある程度機械的に判断する方法が存在するかもしれないからこそ、その判断方法について、あるいは解除についての議論の余地があるのではないでしょうか。--至黒 2010年6月12日 (土) 03:27 (UTC)
- ≪「ある時点でオープンプロクシであると判断されたことだけを理由に」という前提に置き換えて≫と書いているわけで、今のところ(例示すれば、Hatukanezumiさんが挙げている「携帯電話」など)オープンプロクシ以外でブロックされるケースに拡張するつもりはないのですが、その認識は合っているでしょうか?確かに「Wikipedia:投稿ブロック依頼/AIR-EDGEの割り当て範囲と思われるIPレンジ群 解除」のようなことを例に挙げたりもしましたが、それはIPアドレスの割り当ての不変性を前提としているかのようなコメントを疑問視する(IPアドレスの割り当ては変わりうる)根拠として示しているわけで、あくまでここでの話は「オープンプロクシ」を対象としているつもりなのですが。--NISYAN 2010年6月12日 (土) 08:35 (UTC)
- 「プロキシの判断方法に問題がある」→「公開プロキシの判断方法を考えよう」という議題が、「公開プロキシという判断で無期限ブロックされるのはおかしい」という議題に摩り替わっているように見えたために、先の記載をしています。
- 公開プロキシに対して例外扱いするなら、まずは公開プロキシに固有の問題が示され、さらにその特殊性によって現行の無期限ブロックの適用に問題があることが示されなければなりません。それが示されるまでは「ある時点でオープンプロクシであると判断されたことだけを理由に」という前提への変更を行うことは出来ないと考えています。極端に言えば、他のブロック理由に対する公開プロキシの特殊性が示されない限り、「ある時点でオープンプロクシであると判断されたことだけを理由に」と「ある時点で荒らしと判断されたことだけを理由に」ということは等価です。そういう意味で、最初の前提であった「単にある時期特定のポートが空いていたということが判定されただけ」は、確かに公開プロキシ固有の問題であって、議論するに適切だったと考えています。
- ということで、議論を続けるなら、まず行うべきは公開プロキシ固有の問題点が他に無いかどうかの更なる洗い出しではないでしょうか。--至黒 2010年6月15日 (火) 18:39 (UTC)
- ◆いくつか疑問があります。
この節の提起4は元々「ある時期に特定のポートが空いていることを理由にブロックされる」「ブロック期間が無期限である」「それについての想定被害と対応の副作用の検討を行うべきでは?」じゃなかったでしたっけ?そう考えないと、わざわざ提起4の文章は「……無期限のブロックがなされている……」とはならないと思います。
「想定される被害と、対応の副作用の検討」を行う上で、「公開プロキシ固有の問題点」だけに限定して「(公開プロキシを含む)IP利用者の無期限ブロック共通の問題点」(大きくは、IPアドレスが同一人物に割り当てられ続けるわけでないことに伴う他者巻き添えの可能性)を除外する理由はないと思うわけです。もちろんそういったことを洗い出した上で、メリットデメリット考慮の上でやはり「(公開プロキシを含む)IP利用者の無期限ブロック共通の問題点」がデメリット足り得ないという結論になるなら納得ですが、それすら行わないで「想定される被害と、対応の副作用の検討」などできるのでしょうか?--NISYAN 2010年6月19日 (土) 08:24 (UTC)
- ◆いくつか疑問があります。
- ◆Botによる自動ブロック動作について少し。敢えて書きませんでしたが、上でHatukanezumiさんがBotの自動ブロック動作について≪ブロック期間が終了してからしばらくの間は、そのIPアドレスからアクセスがあっても検査はされない≫と説明していますが、私は≪ブロック期間が終了してからは、次の投稿がない限りは再検査はされない≫と理解しています。再検査保留期間は「同一IPアドレスから同日中に10回アクセスがあっても、そしてオープンでないと1度判定されたにも関わらず短時間で、わざわざ10回もオープンプロキシ判定を繰り返すわけではない。そんな過負荷なことはしませんよ。」というための期間設定だろうと説明文書から読み取っています。再検査保留期間の長さの説明がありませんが、6箇月という長期間には設定していないでしょう。疑陽性を避けているわけですから、「1度非オープンと判定されたら6箇月間OKと見なしてオープン判定に行かない」などということは考えにくいと思います。
それであれば、ブロック期間明けにそのIPアドレスから再投稿があれば、そして依然オープンであれば、その段階で改めてブロックがかかるわけですから、わざわざ事前にブロック期間を延長しておく理由はないだろうと思います。次の自動ブロックが行われるまでの数回のアクセスを許容するか、その数回のアクセスすら拒否するためにそれ以降の期間もブロックして他者巻き添えの可能性を残すか、というトレードオフだろうと思うのですが、私は前者のがトータルコストは低くすむと思っています。
それと、オープンプロキシという同一事由に基づくブロックに対して、自動ブロックと手動ブロックでわざわざブロック期間を変える必要性についても疑問を感じます。あくまでオープンプロキシの手動ブロック無期限は妥当と主張するのであれば、(疑陽性のあり得ない)自動ブロックだって無期限にすればいいじゃないかと思うわけですが、無期限妥当という主張者、権限行使者のなかに、そういう主張者がいないのも疑問です。--NISYAN 2010年6月19日 (土) 08:24 (UTC)
- ◆Botによる自動ブロック動作について少し。敢えて書きませんでしたが、上でHatukanezumiさんがBotの自動ブロック動作について≪ブロック期間が終了してからしばらくの間は、そのIPアドレスからアクセスがあっても検査はされない≫と説明していますが、私は≪ブロック期間が終了してからは、次の投稿がない限りは再検査はされない≫と理解しています。再検査保留期間は「同一IPアドレスから同日中に10回アクセスがあっても、そしてオープンでないと1度判定されたにも関わらず短時間で、わざわざ10回もオープンプロキシ判定を繰り返すわけではない。そんな過負荷なことはしませんよ。」というための期間設定だろうと説明文書から読み取っています。再検査保留期間の長さの説明がありませんが、6箇月という長期間には設定していないでしょう。疑陽性を避けているわけですから、「1度非オープンと判定されたら6箇月間OKと見なしてオープン判定に行かない」などということは考えにくいと思います。
最近の二千件の管理行為のうち、オープンプロクシを理由とする無期限ブロック の回数
2010/5/8-2010/6/10
- RIDEN/95
- 海獺/61
- Los688/11
- MUYO/10
- Carkuni/8
- 欅/7
- Cassiopeia sweet/4
- Chatama/4
- Hosiryuhosi/1
- しるふぃ/1
- Jyothis /1
- Bellcricket/1
- Los688/1
--2010年6月11日 (金) 01:41 (UTC)
実際IPユーザーによる悪質なイタズラ投稿は減ってますから投稿ブロックは現状有効ですね :) --基 建吉(MOTOI Kenkichi) 2010年6月11日 (金) 22:37 (UTC)
- Jyothis氏はWP日本語の管理者ではありません。metaのステュワードです。--hyolee2/H.L.LEE 2010年6月12日 (土) 03:30 (UTC)
- よく判らないのですが、「オープンプロクシを理由とする無期限ブロック」という題目で挙げている以上、無期限ブロックの期間の話であろうと思うのですが、「ブロックが効果的か」という意味では多分効果的なのでしょうし、その意味での有効という話なら有効でしょうが、「ブロック期間が無期限であるのが妥当か」という意味では「無期限である必要は感じない」というのが個人的な意見です。理由は繰り返しでしかないので省略。--NISYAN 2010年6月12日 (土) 08:35 (UTC)