## page was copied from DNS/毒盛/歴史/警告の歴史 DNS/毒盛/歴史/警告の歴史について、ここに記述してください。 https://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html ---- Kaminskyの警告あるいはDJBの実装時にリゾルバーの脆弱性をきちんと洗いだすことしなかった。 port random化などの膏薬の上貼り、あるいはDNSSECに逃げた。 きちんと反省しなかったのがいつまでも傷として残っている。ふたつだけ、書いておく。 一番はNS毒だ。これはキャッシュの上書きをしないことで根元を絶つことができる。 delegationを検出したら、ゾーンの存在確認までやってしまうのだ。 delegation 返答の再確認も必要だ。 二番目はCNAME毒だが、多段のCNAME返答は無視するのが安全だ。 親子ゾーンの同居問題もある。 否定返答中のSOAをきちんと確認すれば、存在は確認できる。 否定返答の形式を定義するのも残されているか。 -- ToshinoriMaeno <<DateTime(2018-11-22T08:14:48+0900)>>