アカウント名:
パスワード:
今問題になっているレジストラのアカウント乗っ取りやブロードバンドルータのリゾルバ設定の改竄などに DNSSEC は役に立ちません。火事場泥棒のような DNSSEC プロバガンダです。
> 火事場泥棒のような DNSSEC プロバガンダです
結局DNSSECでも毒入れされたことが検知できるだけで、アクセス不能にされてしまうことを防ぐことはできないんですよねえ。で、毒入れ検知だけなら TLS でもできるわけで、かなり微妙。
リフレクション攻撃は DNSSEC 使うとむしろ攻撃効果を増大させるし。
キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。キャッシュサーバとコンテンツサーバの間で全部TLSなら問題ないけどそんなパターンはほぼないし。# 今回のパターンでDNSSECが意味ないというのは変わりないが
> キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。
あれれ?ネットの利用って DNS だけに閉じた話じゃないわけで、毒入れされた名前に https なり smtp + TLS なりでアクセスしにいった段階で検知が可能なのでは?
https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?
> https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?
まあごくごく稀にはそういうケースもあるのかもしれないけど、ほとんど存在しないし、もしもあったとしても他の脆弱性との合わせ技を使わない限り実害はないんじゃないかな。
もし実際にあるっていうのなら過去にあった攻撃の具体例を挙げてみてほしい。
ツリーの流れからするとオフトピなのは承知だけど、もう少しクライアント側だけでなくサーバ側のことも気にしてあげてもいいと思うの。
> サーバ側のことも気にしてあげてもいいと思うの。
それがサーバーに対する DDoS 攻撃のことであれば、DNSSEC の導入自体がその危険を高めるので、DNSSEC がビミョーな技術だという論旨を補強するだけですよ。
CDNのキャッシュサーバー(TLSはここで終端される)が本来のコンテンツサーバーではないところからコンテンツを引っ張ってしまう話でしょ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
欺瞞 (スコア:0)
今問題になっているレジストラのアカウント乗っ取りやブロードバンドルータのリゾルバ設定の改竄などに DNSSEC は役に立ちません。火事場泥棒のような DNSSEC プロバガンダです。
Re: (スコア:0)
> 火事場泥棒のような DNSSEC プロバガンダです
結局DNSSECでも毒入れされたことが検知できるだけで、アクセス不能にされてしまうことを防ぐことはできないんですよねえ。
で、毒入れ検知だけなら TLS でもできるわけで、かなり微妙。
リフレクション攻撃は DNSSEC 使うとむしろ攻撃効果を増大させるし。
Re: (スコア:0)
キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。
キャッシュサーバとコンテンツサーバの間で全部TLSなら問題ないけどそんなパターンはほぼないし。
# 今回のパターンでDNSSECが意味ないというのは変わりないが
Re: (スコア:0)
> キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。
あれれ?
ネットの利用って DNS だけに閉じた話じゃないわけで、
毒入れされた名前に https なり smtp + TLS なりでアクセスしにいった段階で検知が可能なのでは?
Re: (スコア:0)
https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?
Re: (スコア:1)
> https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?
まあごくごく稀にはそういうケースもあるのかもしれないけど、ほとんど存在しないし、
もしもあったとしても他の脆弱性との合わせ技を使わない限り実害はないんじゃないかな。
もし実際にあるっていうのなら過去にあった攻撃の具体例を挙げてみてほしい。
Re: (スコア:1)
ツリーの流れからするとオフトピなのは承知だけど、もう少しクライアント側だけでなくサーバ側のことも気にしてあげてもいいと思うの。
Re:欺瞞 (スコア:0)
> サーバ側のことも気にしてあげてもいいと思うの。
それがサーバーに対する DDoS 攻撃のことであれば、DNSSEC の導入自体がその危険を高めるので、
DNSSEC がビミョーな技術だという論旨を補強するだけですよ。
Re: (スコア:0)
CDNのキャッシュサーバー(TLSはここで終端される)が本来のコンテンツサーバーではないところからコンテンツを引っ張ってしまう話でしょ