Vlákno názorů k článku
Problém s podtržítky v doménových jménech a systemd-resolve s libidn2
od Vlado - Myslím, že podčiarnik nie je dovolený znak v...
-
Vlado (neregistrovaný)
Myslím, že podčiarnik nie je dovolený znak v doménovom mene (http://www.faqs.org/rfcs/rfc1035.html).
Podobný "problém" nastal po oprave CVE-2016-8743 v Apache. Do opravy Apache toleroval v doménovom mene aj podčiarniky. Workaround je novo zavedená voľba HttpProtocolOptions Unsafe, tým sa ale súčasne ruší oprava CVE-2016-8743.
Ďalšie info napr. tu: https://rhn.redhat.com/errata/RHSA-2017-1721.html -
Tomas (neregistrovaný)
Súhlasím.
Podčiarovník nie je validný znak v doménovom mene. V RFC 1035 sekcia "2.3.1. Preferred name syntax" to popisuje. Na druhú stranu pomlčka "-" je validný znak v doménovom mene, ako sa spomína v RFC. Ľudia podčiarovník väčšinou videli v SRV záznamoch. To je pravda, lebo RFC 2782 v sekcii "The format of the SRV RR" hovorí, že "Service that An underscore (_) is prepended to the service identifier to avoid collisions with DNS labels that occur in nature.". To je z dôvodu, že "Service" časť SRV záznamov NIE je doménove meno.
Netflix porušuje RFC a majú natoľko benevolentný autoritatívny server, že im to dovolilo.
-
FíkZlatý podporovatelMyslím, že ne. Citujete prastaré rfc 1035, kde jsou povoleny jen ascii písmena a čísla. Nové rfc 5891 včetně podtržítek: https://tools.ietf.org/html/rfc5891#section-3.2.1
-
j (neregistrovaný)
To by me zajimalo, kde tam ty podtrzitka mas ... je tam link na 5890, a tam je podtrzitko zmineno jen prave v souvislosti s SRV a spol. a to na tema kompatibility IDN vs SRV. A samo, z pohledu DNS serveru je to zaznam jako zaznam, takze tomu to podtrzitko v principu nevadi nikde, byt by zjevne melo.
-
FíkZlatý podporovatel
Pokud to správně chápu, tak se píše, že underscore labels pro SRV, o čemž hovoříte vy, není kompatibilní s IDNA. Tedy v IDNA může podtržítko klidně být.
Pokud je to nahlášeno jako chyba v libidn2 a řeší se to, tak předpokládám, že to zřejmě rfc neodporuje: https://gitlab.com/libidn/libidn2/issues/30
Více o podtržítkách třeba: https://stackoverflow.com/questions/2180465/can-domain-name-subdomains-have-an-underscore-in-it
-
j (neregistrovaný)
Nemuze, podrzitko je vyhrazeny prave pro specielni ucely - jako napr SRV. A protoze srv zaznam zacina prave podtrzitkem, kdezto idn zaznam musi zacina xn-- ... tak nemuzes mit nabodenickovanej srv (ale muzes mit neco na tema _http._tcp.xn-hdiuyia.eu)
Ze nekdo neco nekde ohlasi jako chybu jeste neznamena ze to chyba je. Na druhou stranu i v kernelu mas dlouhodobe udrzovany chyby jednoduse proto, ze jejich oprava by prinesla vic skody nez uzitku.
-
FíkZlatý podporovatel
stejně bych se přikláněl spíše k tomu, že v doméně _ může být, jak říkají na stackowerflow
-
FíkZlatý podporovatel
asi máte pravdu, ještě je otázka, jestli libidn2 vyhodí podtržítko jen z hostname nebo i z domény
zřejmě by ho neměla vyhazovat pro jistotu nikde
