forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализаций DNSSEC , opennews (??), 14-Фев-24, (0) [смотреть все]

Knot dns не подвержен Получается, настоящие днс в безопасности , Аноним (1), 18:16 , 14-Фев-24, (1) //

Только что обновление вышло https www knot-resolver cz 2024-02-13-knot-resolve, Аноним (4), 18:29 , 14-Фев-24, (4) +1

полный отказ от DNSSEC по причине ugly by design, Аноним (2), 18:23 , 14-Фев-24, (2) +13 //

DNS без DNSSEC слишком прост и надёжен Кому вообще нужны системы, которые просто, Аноним (3), 18:28 , 14-Фев-24, (3) +9 //

DNS и с DNSSEC, и без не прост и не надёжен То, что у тебя дома на OpenWRT dn, Аноним (6), 18:48 , 14-Фев-24, (6) –2 //

echo showServers 124 dnsdist -c Name Address , Аноним (3), 18:53 , 14-Фев-24, (7)

dnsdist, по сравнению с dnsmasq жрёт ресурсы немерено и не умеет также быстро оп, Гость (??), 20:16 , 14-Фев-24, (11)

это же балансировщик, Sw00p aka Jerom (?), 20:54 , 14-Фев-24, (12) +1
Поэтому и запускаем мы его не на роутере с OpenWRT Это не входит в его задачи Е, Аноним (3), 21:48 , 14-Фев-24, (18)

Первое, от чего стоит избавиться в проде 8212 от балансировщика днс Его функ, Аноним (6), 18:39 , 15-Фев-24, (39) –2

это от советов людей, которые прода никогда не видели и наивно верят, что, Аноним (3), 21:25 , 15-Фев-24, (42)

Больше балансировщиков к трону бога балансировщиков Ну наслаждайся своим ланчик, Аноним (6), 22:28 , 15-Фев-24, (46)

Без аптайма это фигня какая-то, а не инфа 7723759 8212 это за день За час , Аноним (6), 18:34 , 15-Фев-24, (38) –1

Для умеющих читать, там есть столбец Qps Попробуйте позвать к компьютеру кого-то, Аноним (3), 21:28 , 15-Фев-24, (43)

А для умеющих думать ещё и очевидно, что Qps сильно зависит от времени измерений, Аноним (6), 22:37 , 15-Фев-24, (47)

Прастити, у вас ДНС работают на ZX-Spectrum, раз перед ими при нагрузке аж в 121, Аноним (50), 14:59 , 17-Фев-24, (50)

И что же он знает , Ivan_83 (ok), 23:21 , 14-Фев-24, (29)

Ну, уважаемый Аноним 6 явно знает, как делать громкие заявления, но определё, Аноним (3), 21:30 , 15-Фев-24, (44)

Валидация DNSSEC сейчас используется примерно на 30 публичных резолверов Начал, Аноним (6), 18:45 , 14-Фев-24, (5) –1 //

Если стандарт 2005 года начали массово использовать только в 2024, то караван , Аноним (3), 19:00 , 14-Фев-24, (8) +3 //

Так ослаблять сеть начали не так давно, раньше это никому в голову не приходило , Аноним (1), 21:44 , 14-Фев-24, (16) //

То ли дело раньше, никакого SSL и TLS Что перехватил 8212 все твоё , Аноним (3), 21:49 , 14-Фев-24, (20)

Ну собственно провайдеры занимавшиеся продажей подобных данных поступали незакон, Аноним (1), 22:04 , 14-Фев-24, (23)

О да, наш любимый DNSSEC очень вам поможет, если провайдер встроит что-то в текс, Аноним (3), 22:16 , 14-Фев-24, (25)

В том же, в чём отличие мягкого от зелёного Дальше читать твои измышления смысл, Аноним (6), 18:28 , 15-Фев-24, (37) –3 //

Ну да, точно У них действительно нет ничего общего, даже предназначения HTTPS , Аноним (3), 21:33 , 15-Фев-24, (45)

Я не могу тебе запретить упорствовать в твоём невежестве , Аноним (6), 22:43 , 15-Фев-24, (48)

DNSSEC - это конечно редкостное удолбище , Tron is Whistling (?), 19:39 , 14-Фев-24, (10) +2 //

Хорошо, что товарищ майор не состоит в ISO , birdie (ok), 21:02 , 14-Фев-24, (13) –4 //

Там только господа майоры , Аноним (3), 21:46 , 14-Фев-24, (17) +3

А что с systemd-resolved Неуязвим , birdie (ok), 21:02 , 14-Фев-24, (14) //

Там DNSSEC дописан наполовину и выключен по умолчанию и разработчиков колышет сл, Аноним (15), 21:23 , 14-Фев-24, (15) //

Можно корректно реализовать DNSSEC и подарить пользователям случайные отвалы люб, Аноним (3), 21:54 , 14-Фев-24, (21)

nsd еще жив , IdeaFix (ok), 21:49 , 14-Фев-24, (19) –1 //

Ты дурной NSD authoritative only, он валидацией не занимается , anonymous (??), 21:57 , 14-Фев-24, (22) +1 //

Если оставить за скобками что ты дурной и перечитать мой вопрос, будет ли там чт, IdeaFix (ok), 23:11 , 14-Фев-24, (27) //

Вообще-то, тут обсуждают новость проИ авторитативные серверы тут вообще не при д, Аноним (3), 00:10 , 15-Фев-24, (31)

Уважаемый автор новости, NSEC3 это не кодое имя уязвимости У этой уязвимости не, Editor (-), 22:04 , 14-Фев-24, (24) +1 //

В первоисточнике , Аноним (3), 22:18 , 14-Фев-24, (26) //

Хорошо, но контест тоже важен И в отличие от KeyTrap vulnerability, где уязвимо, Editor (-), 02:42 , 15-Фев-24, (34)

Ниже приводится выдержка из описания CVE, в которой уточнено, что уязвимость наз, Аноним (3), 10:57 , 15-Фев-24, (36)

The Closest Encloser Proof aspect of the DNS protocol in RFC 5155 when RFC 9276, IdeaFix (ok), 23:15 , 14-Фев-24, (28)

Нет DNSSEC - нет проблем Сколько вам ещё должно сломатся чтобы понять , Ivan_83 (ok), 23:23 , 14-Фев-24, (30) +1 //

Просто кому-то эти проблемы выгодны , Аноним (3), 00:11 , 15-Фев-24, (32) //

Нет, просто DNSSEC это костыль, который не хотят выкидывать ибо везде театр безо, Ivan_83 (ok), 01:00 , 15-Фев-24, (33) +1

Будет время - надо свои YADIFA погонять на предмет уязвимости Хотя разговор вро, bOOster (ok), 10:15 , 15-Фев-24, (35)
Название - тоненький намёк на то, что NSEC3 - это и есть дыра , Tron is Whistling (?), 10:28 , 16-Фев-24, (49)

Сообщения [Сортировка по времени | RSS]

5. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." –1 +/–

Сообщение от Аноним (6), 14-Фев-24, 18:45

Валидация DNSSEC сейчас используется примерно на 30% публичных резолверов. Начали более-менее массово использовать, появился интерес со стороны исследователей, начали находить дыры. Нормальный процесс в действии. Но диванные в комментариях всё равно будут ныть о том, что им сразу нормально не сделали™. Собаки лают, караван идёт.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +3 +/–

Сообщение от Аноним (3), 14-Фев-24, 19:00

Если стандарт 2005 года начали "массово использовать" только в 2024, то караван не очень-то идёт.
Ну и главное отличие DNSSEC от HTTPS — в случае проблем с HTTPS пользователь видит в браузере нормальное сообщение о том, что произошло (просроченый серт, некорректное доменное имя, самоподпись), а в случае проблем с DNSSEC — "не удалось найти сервер". И это приговор DNSSEC как системе.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +/–

Сообщение от Аноним (1), 14-Фев-24, 21:44

Так ослаблять сеть начали не так давно, раньше это никому в голову не приходило. Теперь нельзя доверять совершенно никому.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +/–

Сообщение от Аноним (3), 14-Фев-24, 21:49

То ли дело раньше, никакого SSL и TLS. Что перехватил — все твоё!

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +/–

Сообщение от Аноним (1), 14-Фев-24, 22:04

Ну собственно провайдеры занимавшиеся продажей подобных данных поступали незаконно, но хотя бы не встраивали рекламные сети с малварью в трафик. Как это стало обычной практикой, все перешли на шифрованный трафик. Начали подменять dns, dnssec получил распространение.

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +/–

Сообщение от Аноним (3), 14-Фев-24, 22:16

О да, наш любимый DNSSEC очень вам поможет, если провайдер встроит что-то в текст страницы.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." –3 +/–

Сообщение от Аноним (6), 15-Фев-24, 18:28

> главное отличие DNSSEC от HTTPS
В том же, в чём отличие мягкого от зелёного. Дальше читать твои измышления смысла нет, ты не понимаешь базовых вещей.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

45. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +/–

Сообщение от Аноним (3), 15-Фев-24, 21:33

> В том же, в чём отличие мягкого от зелёного
Ну да, точно. У них действительно нет ничего общего, даже предназначения. HTTPS нужен для безопасности (в том числе, для аутентификации открываемого сайта), DNSSEC — для прикола.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..." +/–

Сообщение от Аноним (6), 15-Фев-24, 22:43

Я не могу тебе запретить упорствовать в твоём невежестве.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

5. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	–1 +/–
Сообщение от Аноним (6), 14-Фев-24, 18:45
Валидация DNSSEC сейчас используется примерно на 30% публичных резолверов. Начали более-менее массово использовать, появился интерес со стороны исследователей, начали находить дыры. Нормальный процесс в действии. Но диванные в комментариях всё равно будут ныть о том, что им сразу нормально не сделали™. Собаки лают, караван идёт.
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+3 +/–
	Сообщение от Аноним (3), 14-Фев-24, 19:00
	Если стандарт 2005 года начали "массово использовать" только в 2024, то караван не очень-то идёт. Ну и главное отличие DNSSEC от HTTPS — в случае проблем с HTTPS пользователь видит в браузере нормальное сообщение о том, что произошло (просроченый серт, некорректное доменное имя, самоподпись), а в случае проблем с DNSSEC — "не удалось найти сервер". И это приговор DNSSEC как системе.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
	Сообщение от Аноним (1), 14-Фев-24, 21:44
	Так ослаблять сеть начали не так давно, раньше это никому в голову не приходило. Теперь нельзя доверять совершенно никому.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
	Сообщение от Аноним (3), 14-Фев-24, 21:49
	То ли дело раньше, никакого SSL и TLS. Что перехватил — все твоё!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
	Сообщение от Аноним (1), 14-Фев-24, 22:04
	Ну собственно провайдеры занимавшиеся продажей подобных данных поступали незаконно, но хотя бы не встраивали рекламные сети с малварью в трафик. Как это стало обычной практикой, все перешли на шифрованный трафик. Начали подменять dns, dnssec получил распространение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
	Сообщение от Аноним (3), 14-Фев-24, 22:16
	О да, наш любимый DNSSEC очень вам поможет, если провайдер встроит что-то в текст страницы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	–3 +/–
	Сообщение от Аноним (6), 15-Фев-24, 18:28
	> главное отличие DNSSEC от HTTPS В том же, в чём отличие мягкого от зелёного. Дальше читать твои измышления смысла нет, ты не понимаешь базовых вещей.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	45. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
	Сообщение от Аноним (3), 15-Фев-24, 21:33
	> В том же, в чём отличие мягкого от зелёного Ну да, точно. У них действительно нет ничего общего, даже предназначения. HTTPS нужен для безопасности (в том числе, для аутентификации открываемого сайта), DNSSEC — для прикола.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Уязвимости KeyTrap и NSEC3, затрагивающие большинство реализ..."	+/–
	Сообщение от Аноним (6), 15-Фев-24, 22:43
	Я не могу тебе запретить упорствовать в твоём невежестве.
	Ответить \| Правка \| Наверх \| Cообщить модератору