DNS etc.

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Pátek Duben 7 11:01:15 CEST 2000 

On Fri, 7 Apr 2000, Petr Novotny wrote:

> >2. Vzdycky muze byt tvrzeni, ze DANY program ma DANOU
> > vlastnost v prislusne teorii nerozhodnutelne (diky panu Godelovi vime,
> > ze vsechny zajimave teorie jsou neuplne)...pak nelze dukaz, ani dukaz
> > opaku, najit nikdy. (Ovsem podle marxismu-leninismu je vzdy aspon
> > mozno zjistit, ze ten dukaz nelze najit. :> )
> 
> Moment. Goedelova veta plati nad systemem, v nemz lze 
> vybudovat aritmetiku prirozenych cisel. To v pocitaci nelze. Pocitac 
> pracuje nad _konecnymi_ mnozinami - takze nerozhodnutelna 
> tvrzeni se nekonaji.

Pouze pokud si stanovym *apriorni* limit na objem pameti. Pak se ocitnu
v absurdni situaci, ze pridanim dalsi pameti do meho pocitace muzu (aspon
teoreticky) zneplatnit takovy dukaz, protoze pouzil predpoklad, ze je tam
te pameti mene. Nicmene cela debata je dost akademicka, protoze v pripade,
ze by mi nalezeni dukazu trvalo treba miliardu let (predpokladam-li
urcitou vypocetni silu), pak je to z praktickeho hlediska stejne, jako
kdyz nelze najit vubec.

> > Zbytek sveta ma svoji vlastni cache. Je ovsem pravda, ze cache lze z
> > jedne strany proti neprizni pocasi ochranit.
> 
> Navic pokud se bojim, ze firemni cache je malo chranena, tak si
> a. udelam vlastni cache na 127.0.0.1   nebo
> b. nastavim /etc/resolv.conf na bezpecnejsi cache.
> 
> Znovu pripominam, ze djb-approved :-) cache se neretezi.

Ale porad je ta kes vystavena zlemu svetu tou stranou, ktera dotazy
preposila dal (a jak jsme si uz vysvetlili, dosahnout, aby se kes na neco
konkretniho zeptala, neni tezke). Bylo by zajimave prozkoumat, jaka cast
kodu naklada (netrivialnim zpusobem) pouze s udaji, ktere posila klient (o
kterem predpokladame, ze je v zasade hodny). Myslim ale, ze to bude
minimum (ja vim, "profile, don't speculate", i kdyz ja bych k tomu
vymyslel bonmot "speculation is a precursor to knowledge").

> > Na co vubec DNSSEC a ne DNS over IPSec?
> 
> Je vam naprd, ze mate skvele chraneny telefon proti unosu linky, 
> kdyz nevite, zda ten clovek na druhe strane neni magnetofon. :-)

Kdyz ten magnetofon prokaze, ze je opravnen zastupovat toho cloveka, co mu
volam, pak v tom nevidim problem. :)

> Kdyz nebudu verit NSI, budu chtit, aby byl DNS zaznam pro 
> amazon.com podepsan od amazon.com - pak takovy zaznam 
> vezmu i od nespolehliveho prostrednika. IPSec mi v tomhle 
> nepomuze, protoze ja nemluvim nutne s autoritativnim zdrojem 
> informace.

"Podepsan od amazon.com"...to znamena, ze uz mam odnekud nejaky verejny
klic od Amazonu (jinak by mi jejich podpis byl na dve veci). Kdyz ten
verejny klic pouziju pro autentizaci spojeni (napr. behem vymeny klicu)
v IPSecu, tak mi sice NSI muze zkouset podstrcit blby zaznam, ale ja se
zmast nenecham, protoze podstrcena druha strana nebude schopna presvedcive
predstirat, ze je Amazon.


P.S. Pokud to nekomu pripada hodne offtopic a nezajimave, pak at se neboji
ozvat a jak uz toho necham. :)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."

Další informace o konferenci Linux