Odpověď na názor
Odpovídáte na názor k článku Počet domén .CZ zabezpečených pomocí DNSSEC překročil jeden milión. Názory mohou přidávat pouze registrovaní uživatelé. Nově přidané názory se na webu objeví až po schválení redakcí.
-
DannyStříbrný podporovatelNo, ale u pravidel KINDNS sami explicitne u AXFR zminuji... there are some security risks associated with unauthorized parties having access to an entire zone’s content - coz s blbe (zbrkle) nastavenym NSECem instantne dostavas zrovnatak. Tak to proste je. Pritom ani duchem KINDNS neni cilem instantne vystavit celou DNS zonu do sveta, to tam napsane proste a jednoduse mas...
Samozrejme i to large zones can cause significant amounts of traffic if zone transfers are repeated multiple times je aplikovatelne na prochazeni NXT/NSEC chainu v te blbe (zbrkle) nastavene zone zrovnatak jako na AXFR.... bonusove s vetsim mnozstvim dotazu, ktere ani nemusi prijit od zvedavce, protoze to v pohode schovas za libovolny otevreny resolver. U AXFR musi aspon prijit od nekoho, kdo si s tebou zvladne naprimo popovidat po TCP (byt to muze byt taky 3rd party kompromitovany stroj).
Takze ve finale s pravidly KINDNS a tim co rikam rozpor v kontextu teto debaty nevidim. Vime oba, ze udelat zonu s NSEC tak, aby vyse uvedenymi problemy netrpela mozne technicky je a neni to neresitelny problem (a jsou takove zony k nalezeni) i v ramci
.cz. Realita je - a o tom mluvim - ovsem takova, ze se to v praxi casto nedeje a rec je o velkych registratorech, u ktery by DNS mel byt jejich chleb. Akorat se bavime o detailu, ktere bezne oko nepostrehne, neresi. A to jsou ty zbrkle implementace... ktere ani pravidla KINDNS fakticky nechteji - pokud budes opravdu respektovat jejich ducha a prectes si je cele. Bohuzel v Cesku zbrklou honbou za co mozna nejvyssim cislickem podepsanych zon vytvarime ty security risks utvarime. A tvarime se, ze je to v poradku :-) Ne, neni...
