DNS etc.

Petr Novotny Petr.Novotny na antek.cz
Čtvrtek Duben 6 19:08:26 CEST 2000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 6 Apr 00, at 18:52, Pavel Kankovsky wrote:

> Kdyz je ta hodnota zapsana nejak symbolicky, tak je na ni mnohem lepe
> videt, co znamena. A taky je na ni mnohem lepe videt, kdyz je blbe.

A je string delky CACHE_ELEMENT_MAX_LENGTH dost velky, 
aby se do nej dal zkopirovat string delky 
MAX_INPUT_LINE_LENGTH?

(Pokud reknete, at jednu konstantu definuji pomoci druhe, tak 
stejne casem na problem zarazime, pokud na sebe konstanty 
budou - treba neprimo - kruhove zaviset; C preprocesor neumi resit 
soustavy linearnich rovnic.)

Nekdy pojmenovani pomuze, nekdy pojmenovani uskodi, nekdy 
zamlzi problem. Nekdy se za dva roky divite, proc to najednou 
nefunguje, a zjistite, ze zvyseni MAX_INPUT_LINE_LENGTH o 64 
nebylo az tak zcela bez nasledku. Zadna programovaci technika 
neni samospasitelna. :-) Ergo, vzhledem k tomu, ze symbolicke 
konstanty bezpecnost neprinaseji, zalezi jen na vkusu 
programatora, zda je pouziva. Ja je pouzivam. Ovsem kdo jsem ja, 
abych hodnotil programovaci vkus DJB? :-)

[Jo, a tabulator jsou odjakziva CTYRI znaky, a kazdy, kdo tvrdi 
neco jineho, pise neprehledne.] :-]


> > Ano. Za cenu toho, ze buffer oveflow v cache vam zrusi 
> > administrativni ns.
> 
> To z toho rozhodne neplyne. Architektonicky se to da vystavet nekolika
> ruznymi zpusoby, z nichz ne vsechny vyzaduji, aby obe komponenty byly
> jeden proces. (Nejsou sice nutne vsechny zaroven efektivni a
> elegantni, mj. z duvodu absence slusneho IPC v (nejen) unixovych
> systemech, ale zivot je vzdycky kompromis mezi hezkym, moznym a
> vyhodnym.)

Mate priklad neceho, co je architektonicky vybudovano jinak, nebo 
jen spekulujete? (Jen se ptam.)


> > Pokud chci split DNS, mam aspon dve IP adresy. Nebo myslite 
> > "kazdemu odpovez jinak"? Na to mam ipfwadm a transparent proxy
> > (ruzne prichozi rozhazuji na ruzne porty).
> 
> Transparent proxy se ale s UDP moc neda pouzit.

Tak si ho napisu. (Prijimam UDP pakety, a podle tabulky je 
"forwarduju" na jine porty tehoz interface.)


> Oprava: o nekterych programech lze dokazat, ze maji nektere
> vlastnosti. (Tim nechci zpochybnovat vhodnost formalnich metod, ale
> nejsou vsemocne.)

Zalezi na tom, v jakem smyslu myslite vsemocnost. Samozrejme 
je zname ono fousate "Nelze napsat program, ktery ma za vstup 
libovolny program a za vystup odpoved, zda je ten zkoumany 
program spravne". Ovsem je dosti zrejme, ze my zde nepracujeme 
s libovolnym programem. Pracujeme s konkretnim programem, a 
spravnost/nespravnost lze dokazat. (Pravda, pokud bychom meli 
smulu, tak nam to akorat trva strasne dlouho.)


> Stejne vsechny kosiky drzi manik jmenem "kernel" a kdyz je upusti, tak
> se vejce rozflakaji vsechny. :)

No jiste. Ale ke kernelu nema utocnik zas tolik novych pristupu. 
Jinak receno, pridavat chyby se zduvodnenim "treba je spatne 
kernel" je nebezpecna cesta.

Kdy naposled nekdo z vas videl root exploit (zadny jiny neexistuje) 
v kernelu? ping-of-death je taky neprijemny, ale to je jen DoS. 
Sanci, jak vas DoSnout, bude mit utocnik vzycky dost.


> Krome toho, jestlize se mistni resolvery na vsechno (vcetne lokalne
> obsluhovanych zon) dotazuji pres kes (coz je AFAIK djb-approved modus
> operandi), pak je naruseni bezpecnosti kese z pohledu lokalnich
> uzivatelu nejmene tak zavazne, jako naruseni bezpecnosti mistniho aut.
> ns.

Z pohledu LAN ano. Z pohledu zakaznika zvenci ne. Rekl bych, ze 
zamestnancum amazon.com az tak vadit nebude, kdyz nebudou 
moct browsit kvuli otrave lokalni cache - hlavne ze bude 
www.amazon.com ukazovat na spravne misto pro zbytek sveta.

(Na druhe strane vam bude asi vadit, kdyz kvuli otrave lokalni 
cache odvysilate cislo sve kreditkarty nekomu jinemu. Ale 
kontrolujete, zda nahodou neklikate na www.anazon.com?)
:-)


> > DNS jeste stale - preze vsechna slibovani NSI od roku 1993 - neni
> > chranena asymetrickym podpisem (takze by nesla odpoved root serveru
> > zfalsovat).
> 
> Nejaka zasadni ochrana DNS je stejne irelevantni, dokud neni pevne
> svazana s ochranou nasledneho transportu dat.

Pokud v ruce spravne IP nemam, tak se trefit nemuzu. Pokud ho 
mam, tak mam aspon sanci. :-)

Jinak mate samozrejme pravdu. Jenze IPSec uz je, a vsechny 
slusne OS ho umeji. DNSSEC je porad ve stadiu hibernace.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOOy2elMwP8g7qbw/EQJdoACghliVYxhsUNRjhiMj6l8Xc7Hj25gAoLoi
8wgah3VqUHsJ8Jsk0On51IyC
=a5XQ
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux