Názory k článku Jde o sex.com

Seznam by u nas svoji domenu dostal ihned po jednom telefonatu.

Na Slovensku to mozne nie je, tam bez notarskeho overenia mate smolu.

Mate tam: Co z toho plyne pro doénu .cz?

Coz je vam, nebo me desne platne, ze? Jestli by ji Seznam i bez telefonatu dostal zpet, tak to stejne na pochybnosti zavadeneho systemu mnoho nemeni, spise naopak. Vsem by se snad melo merit stejnym metrem.

Soucasny system CZ.NICu je casto kritizovan prave pro prilisnou prisnost pri overovani, kdy pozaduje prokazatelny souhlas vlastnika u vsech operaci, ktere mohou mit vliv na drzeni a funkcnost domeny.

Kdyz nastavite datum vyprseni zaznamu v DNS na tri roky, pak by Seznam musel obvolat vsechny spravce NS, ktere uz zmenu zapsaly. ;-) Jednou jsem se takhle spletl o nulu a cekal jsem o par desitek sekund na zmenu v DNS dele, nez jsem mel v planu.

Dane, úplně by stačilo, kdyby se držitel domény (id-acc) musel vyjádřit ke změně svého registrátora.

Pokud někdo nereloaduje bindy :-) Což se zhusta děje.

Stacilo k cemu ?

A proc by musel restartovat cely software? DNS coby system nejak funguje, ma jasna pravidla, implementace v software je vec jina - ja take mezi primarem a sekundarem neustale nenahravam vsechny zony... a notifikace jsou implementovany via UDP o kterem jak znamo je nespolehlivym protokolem... a vyzvy casto nedorazi...

K uklidnění :-)

Pavle,
ja jsem rikal restartovat? Zkus prosim poradne cist.

Reload je potreba napriklad v pripade, ze chces do systemu pridat novou zonu. I kdyz je mozne, ze pouzivas DNS server ve Windows 2000 a tam to jde pres klikani :-)

Medií ?

... Kopty.

proc? podival se a rekl si nejaka nextra.sk, to neni nic duleziteho...

Cist umim, pak nechapu Tebe - Tvuj BIND refreshuje vsechny zony pri reloadu aniz by bral v potaz Expire? Mas ponekud podivnou a znacne nestandardni verzi :-0, kdopak je vendorem?

ano, dela to :-) Vendorem je ISC.

Mohu zodpovedne prohlasit, ze verze 9.2.1 (konkretne 9.2.1-1.7x.2 v podani Red Hat Inc.) nejevi znamky chovani dle Tve semantiky - overovano na strane druheho DNS serveru (protoze s vyjimkou SOA Internet nevi a nezna pojem Master/Slave) pomoci odchyceni a analyzy veskerych paketu s dotycnou IP adresou - a to jak ve vztahu reload master, tak reload slave serveru... Prozradis nam verzi, ktera se chova dle Tveho tvrzeni (ja jsem podobne chovani ani u rady 8, ani u rady 4 nepozoroval)?

Pokud si to pamatuju dobre, pak to neni otazka verze, ale optionu pri prekladu, ktery takove chovani umoznuje zapnout. Jelikoz BIND si ne kazdy preklada sam, pak prenesene muzeme v mnoha pripadech rict, ze toto chovani muzeme vztahnout k OS a jeho verzi.

Napadlo by vas, panove, ze byste mohli mit pravdu oba ?

Pokud si prectes moje reakce, zjistis, ze ja s tim implicitne pocitam :-) Popisuju chovani sveho systemu - nikoliv chovani systemu nekoho jineho.

Nenapadlo, protoze mi to nikdo do ted nerekl a jelikoz mne to zaujalo, tak prvni, po cem jsem se pidil byl "vyrobce" a verze pouzivaneho SW (pokud by byly ve shode, jednalo by se o modifikaci prostredi - cehoz soucasti budiz i kompilace software) - jak znamo, jsou to pruvodni znaky jistych rozdilnosti v chovani....

Tva prvni reakce byla: "Pokud někdo nereloaduje bindy :-) Což se zhusta děje." - ta s timto tvrzenim docela dost dobre nekoresponduje - nemluvis o svem systemu, ale o pouzivani BINDu. Ja ho vyuzivam rovnez velmi intenzivne (zhusta se deje - rekl bych, ze Red Hat distribuce neni minoritni obskurni system), reloaduju rovnez a presto se dostanu do stavu popisovaneho Martinem...

Ahoj Pavle,
teprve ted mi doslo, ze jsem to formuloval tak nestastne, ze to mohlo byt pochopeno jinak.

Za zpusobene nedorozumeni se omlouvam.

Jeste ale musim doplnit jednu vec - protoze jsem zacal hledat jaky option to byl a nemohl ho dlouho najit. Hacek byl v tom, ze v "CHANGES" je u verze 8.2.2-T1A napsano, ze "FORCED_RELOAD is no longer optional". A v soucanych zdrojacich uz take zadny takovy option neexistuje. Predpokladam, ze vyse uvedene mam pochopit tak, ze soucasny kod se chova tak, jako by option pouzit byl. Neboli - pri reloadu by si sekundar mel SOA overit bez ohledu na to, zda uz vyprsela doba expirace ci nikoliv. U me se tak kazdopadne chova.

To je kravovina. Ledaze nechapu, cimu utoku na co ma byt braneno.

Pokud skutecne budujeme ochranu proti tomu, aby znamy spekulant X.Y. nezalozil registratora a neprevedl pak k sobe a posleze na sebe vsechny domeny, pak zbyva podotknout, ze to by musel onen spekulant byt uplny kreten, kdyby to tak udelal. Pri vetsine zpusobu jak zabezpecit domenu pred neopravnenym prevodem bude totiz stale nekolikanasobne lacinejsi padelat onen souhlas drzitele nez "zrizovat registratora". Ano, dovedu si predstavit i takovy zabezpecovaci system, kdy to lacinejsi nebude - ale ten bude natolik komplikovany a obtezujici, ze nelze jeho zavedeni rozumne ocekavat nebo zadat.

Samozrejme, ze system je rozumne zajistit proti podvodnikum - ale je opravdu otazka, zda zabezpecit mista, odkud lze utok ocekavat spise mene pravdepodobne a ponechat mista, kde podvodnik tehoz vysledku dosahne daleko snaze. A utok "podvodnik registratorem" ja povazuji za scenar spise mene pravdepodobny.

Nicmene, mozna by se tohohle napadu potencialni registratori mohli chytit. Totiz - cim snazsi bude "utek" klienta k jinemu registratorovi, tim opatrneji budou muset nastavovat sve obchodni podminky a tim vic budou muset na sve klienty dbat. Cim slozitejsi takovy prechod bude, tim je jejich manevrovaci prostor vetsi a jejich business pohodlnejsi (i kdyz pravda, hur se zase budou pretahovat klienti konkurenci).

Tak to cumim jako puk - vyse zminena verze (update RH 7.3) se tak rozhodne nechova, jak jsem psal, zacal jsem sledovat veskere pakety prichazejici na primar ze sekundaru, reloadnul sekundar a vubec zadny paket neprisel, natoz pakety, ktere by overovali SOA serial... - rekl bych, ze to FORCE vykopl (kdo?) uplne...

K tomu ti nedokazu rict vic, nez ze 8.3.4-REL ten option nema a na SOA se pri reloadu zeptal (tcpdump) v obou pripadech, kdy jsem to ted testoval ...

Register.com previedol konto nextra.sk (so vsetkymi .com domenami u neho registrovanymi) na jedneho zakaznika. Uz to je naspat ale takemuto "registratorovi" sa neda verit.