Vlákno názorů k článku
Veřejné DNS servery Googlu obětí únosu
od j - Mr Caletka, DNSSEC je naprosto lautr khownu. Googli...
-
j (neregistrovaný)
Mr Caletka, DNSSEC je naprosto lautr khownu. Googli DNS totiz neposkytuje zadny autoritativni zaznamy, a pokud bych cilene unasel prave takovy DNS server, tak rozhodne ne proto, abych posilal falesne odpovedi. Treba mi staci to, ze ziskam velmi zajimava data o uzivatelich toho dns.
A to nemluvim o tom, ze pokud bych chtel utocit na konkretni sit/osobu ... tak je mu DNSSEC k hownu 10x ... protoze mu samozrejme podvrhnu VSECHNY DNS dotazy - tedy i ty, ktere se budou snazit o overeni v TLD. Tudiz mu jeho validator spokojene zahlasi, ze je vsechno OK.
-
Ondřej CaletkaZlatý podporovatelMilý pane j, opět plácáte nesmysly. Jak chcete podvrhnout elektronické podpisy v RRSIG záznamech bez znalosti privátních klíčů?
-
j (neregistrovaný)
Aha, mr placal vubec nema ani paru jak funguje overovani dnssec ....
Takze caletka, overovani dnssec (pro tebe a dalsi retartovane) je zalozeny na tom, ze resolver si klic overi u nadrazeneho serveru ... kdyz se k nemu nedostane, nebo kdyz jeho odpoved vrati utocnik, tak ji bude povazovat za zcela korektni.
Privatni klice si muzu nagenerovat do zasoby a muzu jich mit kolik chci ...
Ale to by podobni placalove museli aspon tusit jak to (ne)funguje, ze ...
Ano, ciste teoreticky by resolver mohl mit u sebe klice vsech tld ... a nejak (asi telepaticky) je pravidelne obnovovat. Pak by byl schopen zjistit, ze odpoved nepochazi od toho spravneho serveru.
DNSSEC zarucuje jedine - ze mi cizi dns server nepodvrhne odpoved, pokud mam pristup k nadrazenemu DNS serveru (a domena je podepsana samo).
-
Zaprvé by bylo fajn, kdybyste přestal ve slušné debatě lidi označovat za blbce a začal komunikovat trochu normálně.
Zadruhé: Očividně jste jediný, kdo tu netuší, jak DNSSEC funguje. Klient (rekurzor) má u sebe veřejné klíče ke kořenové zóně a všechny odpovědi v celém řetězci musí být podepsané, pokud má doména DNSSEC. Takže když se řetěz přeruší, považuje se odpověď za nevalidní.
Pokud koncová doména DNSSEC nemá, tak musí po cestě přijít podepsaná informace o tom, že bude zbytek řetězce bez DNSSEC. Takže se nedá nafintit, že třeba www.root.cz nemá DNSSEC a doplnit do nepodepsané odpovědi falešné podpisy.
-
Filip JirsákStříbrný podporovatelPrázdný sud nejvíc duní. Jediný, kdo tady plácá nesmysly, jste vy.
Kořenová zóna už je nějaký ten pátek podepsaná. Zbytek si snad dokážete dostudovat sám.
