CZ.NIC na svém blogu oznámil úpravy konfigurace otevřeného resolveru (ODVR). Ten měl od začátku zapnutou ochranu proti útoku DNS Rebinding, který obchází princip same-origin policy v prohlížečích a umožňuje útočníkovi z JavaScriptu oslovovat další zařízení v místní síti.
Ochrana byla realizována tak, že resolver filtroval odpovědi s IP adresami z privátních rozsahů a vracel stav REFUSED. Ukázalo se ale, že pro řadu uživatelů je legitimní mít ve veřejné doméně lokální adresy a navíc ostatní otevřené resolvery (Google, Cloudflare a další) mají tuto filtraci vypnutou.
Druhá úprava se týká DNS-over-HTTPS (DoH), který byl na ODVR spuštěn před rokem. Původně šlo o zkušební provoz pouze na jedné z adres anycastu, konkrétně 185.43.135.1/2001:148f:fffe::1. Nyní byla podpora rozšířena i na druhou adresu, tedy 193.17.47.1/2001:148f:ffff::1.
ČLÁNKY DO MAILU