Vlákno názorů k článku Miliony zařízení sdílí privátní klíče k HTTPS a SSH od ehmmm - Takze vlastne navazujeme na predchozi diskuzi. Krome nekolika evangelistu...

Takze vlastne navazujeme na predchozi diskuzi.

Krome nekolika evangelistu na rootu, v googlu, atd. bezneho bfu vlastne https nezajima (jako stredne pokrocileho bfu me to zajima fakt jenom, kdyz jde o penize), takze aby se vlk nazral, tak tam proste je nejaky certifikat a nejake to https.

Je to podobne jako s IPv6. Pro nektere typy uloh to je proste zbytecne komplikovane a v takovych pripadech IPv4 nebo HTTP proste staci. Proto se taky tyhle dva protokoly staly tak popularni. Jenze tenkrat to byla jina generace inzenyru/progra­matoru, od kterych se i ja obcas neco rad priucim.

Můžeš nastínit pár věcí, ve kterých je IPv6 komplikovanější než IPv4? Já naopak narážím na IPv4 na strašně moc komplikací způsobených maškarádou a privátními adresami.

Predevsim to, ze se samotnym IPv6 si nevystacis (pokud nezaradis nejakou 6to4 branu). Co ale v pripade kdy system pozaduje obe adresy, a dostane jen jednu? Vetsinou totiz konfigurace sitove karty (network manager) nevi, jestli system bude pouzitelny, kdyz dostane rekneme ipv4 a nedostane ipv6. (Co kdyz je tam namountovany sitovy filesystem, vyzadujici prave jeden z tech protokolu?)

Dale pak bylo docela dobre odladeno DHCP. Nove musi univerzalni zarizeni umet RA i DHCPv6 (nebo jak se ty autokonfigurace vlastne jmenujou). Spravce "verejne" site (treba univerzitni) pak musi zamezit aby klient nemohl hrat roli serveru/routeru a posilat podvrzene DHCPv6 nebo RA odpovedi. To dokonce musi udelat i v IPv4 only siti, protoze jinak nejaky zly klient se bude tvarit jako IPv6 router a obet ktera si prinese notebook nebo telefon se zapnutym IPv6 bude do internetu pristupovat na IPv6 adresy pres tohoto utocnika. (A naopak musi blokovat DHCP(v4) v IPv6 only siti.)

Routery po ceste musi znat _vsechny_ rozsirene hlavicky IPv6, protoze jaksi delka danne hlavicky (tedy to, kolik ma to zarizeni preskocit aby naslo rozsireni, ktere potrebuje inerpretovat) je v kazdem rozsireni na jinem miste.

A fundovani by ti jiste byli schopni dat seznam mnohem delsi.

http://www.root.cz/clanky/bezpecne-ipv6-trable-s-hlavickami/

> Predevsim to, ze se samotnym IPv6 si nevystacis

Aha, takže až za nějakou dobu budeš potřebovat služby dostupné jen po IPv4, tak najednou bude „zbytečně komplikované“ IPv4?

> Co ale v pripade kdy system pozaduje obe adresy, a dostane jen jednu?

Taková situace nastává naprosto běžně, pokud v síti není RA nebo naopak DHCPv4 server.

> Spravce "verejne" site (treba univerzitni) pak musi zamezit aby klient nemohl hrat roli serveru/routeru a posilat podvrzene DHCPv6 nebo RA odpovedi.

Ale to přece nesouvisí s IPvX, ale s tím, že máte nezabezpečenou nižší vrstvu. Někdo jiný by zase mohl tvrdit, že IPv4 je „komplikované“, protože správce veřejné sítě musí zabezpečit proti rogue DHCPv4 a ARP floodům.

"Co kdyz je tam namountovany sitovy filesystem, vyzadujici prave jeden z tech protokolu?"

Konektivita není zaručena a file systém musí se ztrátou konektivity počítat už z principu. Nemůžeš garantovat, že se nerestartuje WiFi AP, nějaký moula nepřekopne kabel, když jedeš po VPN, server nebude pod DDOS,... Nehledě na prostou skutečnost, že takový file systém bez IP adresy namontovaný nebude.

V boxu ktery mel jen jeden protokol, se mohlo prohlasit, ze ucelem toho boxu je byt pripojeny k internetu a tedy boot zastavit do doby nez se dostane adresa. Proste je stale dost problem mit spolehlive vedle sebe oba protokoly na jedne masine, zvlast kdyz tam nejaky moula (cast prace odvede spravce distribuce, dilo zkazy pak dokonci spravce systemu) naskriptuje update /etc/resolv.conf z obou autokonfiguraci a nenastavi ze ty dva mechanismy jsou spolu v konfliktu (budou si navzajem prepisovat /etc/resolv.conf).

Pokud budete mit na obojetnem boxu nakonfigurovany server ktery posloucha nejak na ipv6 a nejak jinak na ipv4 (ano to neni prilis standardni konfigurace, ale varovan v zadne dokumentaci nebudete), tak po bootu, kdy bude jen jeden protokol, bud nenastartuje vubec, nebo nastartuje jen v tom jednom protokolu a ten druhy az do restartu nezapne.