Názory k článku
Mastercard měl pět let překlep v DNS, který mohl vést k odposlechu provozu

Spis mohl vytvorit DoS stav - dokud domena nebyla registrovana, nic se nedelo - resolver zkusil dalsi adresu, ale jakmile byla funkcni, mohl by zasahnout do procesu - a jelikoz pochybuji ze by provoz byl nesifrovan, tak se nabizi hlavne moznost naruseni. Odposlech neni uplne na miste, kdyz mate jen metadata.

IMHO pokud jeho server neodpoví, pokračuje se dalším serverem. Jako jo, kdyby tam provozoval vlastní DNS, který by dotazované domény neznal, tak jo.

Majitel té domény může nasměrovat záznamy kamkoliv, což by mělo stačit i k získání certifikátu. Jo, zanechá to stopy v CT logu, takže to nebude úplně nenápadná aktivita…

jj to je skoro slusna teorie ;-) praxe je veslejsi, plno sluzeb to neudela, nebo si nacte znova seznam DNS a pak na tom dlouhe minuty vysi a vysi, windows se z toho malem podela ... mi mame DNS v ruznych statech a takove SSSD ale i jine pak mrznou jak dive ;-) i kdyz maji vice AD - coz funguje v ramci SSSD rychle (kdyz jsou IP, kdyz name, tak se zase pta DNS), ale DNS vyzaduje nastaveni:
options rotate timeout:1 retries:1

Pak to tak funguje, 1 sec timeout a zkousi jen 1x -- a vse se razem vyrazne zrychli - treb jsme testovali odpojkeni primarniho DC a chod z replikaci a tak ... dost veci jsme si mysleli, ze ma nejak fungovat ale realne to tak nefunguje a je treba to vynutit konfiguraci --- defaultne ma kazdy OS mnoho opakovani a dlouhe timeouty

Ono je potreba rozlisit, jak se chova resolver koncove stanice a jak se chova caching resolver, ktereho se ta koncova stanice pta. Resolver opreny o nejakou pricetnou implementaci si ten stav "nedostupneho" umi podrzet, obecne se pta vsech autoritativnich nameserveru (a nikoliv nutne v poradi, v jakem je dostane)... zatimco ta koncova stanice se typicky tupe pta serveru v poradi, v jakem je ma nakonfigurovane.

Takze dojdete k tomu, ze vypadek/nedos­tupnost jednoho z autoritativnich serveru zaregistrovat ani nemusite, zatimco kdyz vam vypadne ta lokalni DNS cache, co mate v poradi jako prvni, tak se holt zacnou dit skarede veci.

Je ponekud smutny, ze neco takovyho nema ani DNSSEC :-) Na to kolik si tyhle spolecnosti uctuji by clovek cekal trosku lepsi uroven IT systemu...

Jsou to dinosauři, takže to tak taky vypadá.

A proc by ty prachy meli investovat do IT? Uklizecky by ti rekli ze na takovou spolecnost by meli vice investovat do uklizecek… Jako vlastnika te nezajima spickove IT nebo spickove uklizecky ale kolik penez zisku vygenerujes…

Proč třeba duckduxkgo,com (sic!)nebo aeznam,cz(sic!) a nemají https : ? Potažmo jednotlivé cíle redirextu, otevírat pomalu, obezřetně s (network :slow 3g)

Nebo seynam,cy :-)

ten míří na správný seznam, kluci už pochopili :)