Public Suffix List

Public Suffix List (PSL)は、 ドメインのリストである。このリスト上の項目は、effective top-level domains (eTLD)と呼ばれる。[1]

Mozilla Foundation は、 Firefox におけるセキュリティとプライバシーのためにこのプロジェクトを作成した。しかし、そのためだけでなく、 Mozilla Public License (MPL)のもとで公開され、さまざまな目的のために利用されている。

リスト

Firefox、特定のプラットフォームでのGoogle の Chrome および Chromium[2]Opera[3] 、7.46.0以降の cURL [4]で使用されている。

Mozilla によると、[5]

A "public suffix" is one under which Internet users can directly register names. Some examples of public suffixes are ".com", ".co.uk" and "pvt.k12.ma.us".

日本語訳:

「Public Suffix」とは、インターネットユーザーが直接名前を登録できるドメインのことである。一般的なパブリックサフィックスの例には、".com"、".co.uk"および"pvt.k12.ma.us"などがある。

"com"、"uk"、"us"はトップレベルドメイン(TLD)であるが、レジストラによって管理されている可能性があるため、インターネットユーザーは"co.uk"や"wy.us"などを登録することはできない。

一方、ユーザーは"example.com"のような"com"内の2次レベルドメインを登録することが可能である。これは、レジストラがトップレベルドメインのみを管理しているためである。PSLは、このようなレジストラによって管理されているすべてのドメインサフィックスを収集及び列挙することを目的としています。[6]

ウェブサイトは、ドメインの登録者によって管理されるオンラインリソースで構成される。これには、ドメイン及びそのサブドメインを介して利用可能なリソースが含まれます。2つのドメインが関連している場合、つまり、PSLに含まれていないサフィックスを共有している場合、それらは同じサイトに属していることになる。

PSLが間違っている場合や、ブラウザやサイトが適切に設定されていない場合、 同一サイト 攻撃などのセキュリティ問題が発生するリスクがある。[7][8]

リストの使用方法の例:

  • Supercookiesは、関連ドメイン攻撃者が高レベルドメイン名の接尾辞のために設定する HTTP Cookieです。言い換えれば、foo.example.co.uk のページは通常 bar.example2.co.uk のCookieにアクセスできる可能性がありますが、example.co.uk は example2.co.uk のCookieから遮断されます。
  • 電子メールのサブドメインに対するDMARCポリシーのレコードを見つける。
  • ドメイン名から、重要な部分を見つけるUI
  • サイト別のブラウザ履歴の並べ替えを改善する。

問題

PSLは、セキュリティ、プライバシー、使いやすさ、リソース管理に関連するさまざまな目標のためのツールと見なされてきた。これらの目的が互いに競合し、メンテナンスの困難さや運用上の課題を引き起こす可能性がある。[9][10][11] そのため、dbound、HTTP State Tokens、First Party Setsなどの効果的なアプローチのアイデアが検討されているが、良い代替手段についての合意はまだ得られていない。[12]

2021年、iOS 14.5でのプライバシー強化に関連して、Appleの広告主向け識別子に関するものと、Facebookからの不明瞭なガイダンスが、たくさんのPFSへのドメイン追加の不適切な要求を引き起こした。[13][14]

出典

  1. ^ Public Suffix List - MozillaWiki”. wiki.mozilla.org. 18 May 2017閲覧。
  2. ^ 364745 - Treat PSL matching consistently across all platforms”. bugs.chromium.org. 18 May 2017閲覧。
  3. ^ Cookies and the Public Suffix List”. Heroku (11 October 2013). 19 January 2014閲覧。
  4. ^ PSL in Curl”. Daniel Stenberg (10 January 2024). 31 January 2024閲覧。
  5. ^ Public Suffix List”. publicsuffix.org. 18 May 2017閲覧。
  6. ^ Murray Kucherawy (13 April 2015). “Additional Background Information for dbound”. IETF working group. 2024年3月10日閲覧。 “The PSL is maintained by a web browser producer and is kept current by volunteers on a best-effort basis. It contains a list of points in the hierarchical namespace at which registrations take place, and is used to identify the boundary between so-called "public" names (below which registrations can occur, such as ".com" or ".org.uk") and the private names (organizational names) that domain registrars create within them.”
  7. ^ Dobberstein. “Subdomain security is substandard, say security researchers” (英語). www.theregister.com. 2021年7月4日閲覧。
  8. ^ Can I take Your Subdomain? Exploring Same-Site Attacks in the Modern Web” (英語). Can I Take Your Subdomain?. 2021年7月4日閲覧。
  9. ^ Kumari, Warren; Akkerhuis, Jaap; Fältström, Patrik (2015), “SAC070 - ICANN SSAC Advisory on the Use of Static TLD / Suffix Lists”, ICANN Security and Stability Advisory Committee (SSAC) Reports and Advisories: 32, https://www.icann.org/en/system/files/files/sac-070-en.pdf 2021年7月5日閲覧。 
  10. ^ SSAC Advisory on the Use of Static TLD / Suffix Lists | ICANN Features”. features.icann.org. 2021年7月5日閲覧。
  11. ^ Sleevi, Ryan (2021-06-17), sleevi/psl-problems, https://github.com/sleevi/psl-problems 2021年7月4日閲覧。 
  12. ^ Huston (2020年9月10日). “DNS Query Privacy Revisited | blabs.apnic.net” (英語). 2021年7月5日閲覧。
  13. ^ Mozilla flooded with requests after Apple privacy changes hit Facebook” (英語). BleepingComputer. 2021年7月4日閲覧。
  14. ^ New interaction between IOS 14.5 PCM and Facebook Pixel causing increase in PSL inclusion requests · Issue #1245 · publicsuffix/list” (英語). GitHub. 2021年7月4日閲覧。

外部リンク