DNS/毒盛/tweet/2について、ここに記述してください。

DNSSEC を何にも理解していないだろ


世界的にみても話題にするひとが稀なのはどういうことなのでしょうね。(危険性を理解できていないと思いたい。)

あるいは、分っていても対応する気がないのか。(DNSSEC頼み)

悪いやつらに理解させないままそっとしておくくらい? 

ライト、ついてますか:RIGHT/Complexさんが追加
浸透いうな/伝播いうな/反映いうな
 @tss_ontap_o
DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) http://www.e-ontap.com/blog/20190117.html …
1件の返信 2件のリツイート 3 いいね
このスレッドを表示
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2016年9月20日

dns.jp ゾーンは現在もDNSSEC対応していないという理解であっていますか。
0件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2018年11月7日

否定返答でNSレコードを紛れこませる以外の攻撃も解説されているので、この論文をきちんと理解しておくことが重要だと思った。(精読中) DNSSECによる返答の巨大化は恐れるべきだ。(KSKロールオーバーなどはとるに足らず)
0件の返信 0件のリツイート 1 いいね
このスレッドを表示
Aha!
‏認証済みアカウント @aha_io
2月13日

Your product manager will love this. Start a free trial today.
0件の返信 1件のリツイート 2 いいね
プロモーション
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年8月19日

DNSSECを使うのであれば、EDNS関連の理解は必須です。
(KSKロールオーバーの話は問題発覚のきっかけになる可能性がなくもない、という程度)
その上で、TCP/53を使う。それだけでは問題解決とはいかない。😱UDPサイズを小さく設定すること。
0件の返信 2件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2015年1月16日

「逆引きに有害なDNSSEC」: どう理解したらいいのか、わからない。 正引きに有害なDNSSECもありそうだが。
0件の返信 1件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2018年4月13日

authority sectionによる毒盛を排除しないBINDはDNSSECの普及度が低いことを理解しているのだろうか。
1件の返信 0件のリツイート 1 いいね
このスレッドを表示
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年9月16日
返信先: @kotatuさん

ルートゾーンKSK更新のせいでDNS(SEC)返答が大きくなるのですから、DNSSECを使っていなければ、関係ないという理解をしています。(DNSSECを使っていなくても、今回の件に関係なく大きな返答がくるかもしれないが、まったく別の話です。)
0件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2014年6月7日

それでDNSSECは安全なんでしょうか。どうやったら、それを簡単に理解できるのでしょうか。
0件の返信 1件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年8月26日

ライト、ついてますか:RIGHT/ComplexさんがJoji Maenoをリツイートしました

総務省もおかしな報道資料を作るくらいなら、
まずは省内でDNSSEC対応を義務化してみればいい。

そうすれば、どれだけ理不尽なことを言ったか、少しは理解できる可能性がなくもない。😱 

ライト、ついてますか:RIGHT/Complexさんが追加
Joji Maeno
 @joji
返信先: @tss_ontapさん
そのようなリスク評価をしているだけのことだろうと…米連邦部局はDNSSECが義務付けられているにも関わらずですので、この温度差は何でしょうね。表面温度だけかも…
0件の返信 3件のリツイート 2 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2012年10月2日

いまの状態では末端ドメインにはDNSSECは普及しそうもないと理解したのかも。
「正しい認識」。(JPRS)
0件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2018年12月15日

RFC 2181  (1997)  はその名のとおり、Clarifications であり、

「毒盛脆弱性があっても仕方ない」とするものではない。

現時点ではDNSとはその程度のものだという理解は必要ではあるが、DNSSECのような手間をかけることなく、より安全を目指すことも必要だ。
1件の返信 0件のリツイート 0 いいね
このスレッドを表示
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
12時間12時間前

第一フラグメント便乗攻撃を理解していない人に DNSSEC を何にも理解していないだろって言われてもなぁ。
0件の返信 1件のリツイート 1 いいね
ふみやす@シェルまおう(自称でない) .JSON
‏ @satoh_fumiyasu
2月16日

この理解であってる?
1. DNSSEC の応答はサイズが大きくフラグメント発生しやすい。
2. NSEC3 RR はランダム名(不在名)問合せのキャッシュが効かないので毎回権威に問合せが必要。
3. 委任応答の NS はランクが高いので偽装応答内の NS をキャッシュが採用してしまう。
#dnsonsen
1件の返信 0件のリツイート 1 いいね
このスレッドを表示
Manabu Sonoda
‏ @mimuret
2月15日

DNSSECがいらない、危険とほざいてるやつは、結局何も理解できてないのさ。
0件の返信 0件のリツイート 0 いいね
ゴッチ@(・∀・)落ち着いて!!
‏ @sakuratrang
2018年12月24日

暗号化(信頼の連鎖)だけでも読んでみては?このサイトを読んで、電子署名についてやっと理解ができました。
JPNIC DNSSECの仕組みの詳細
https://www.nic.ad.jp/ja/newsletter/No43/0800.html …
0件の返信 0件のリツイート 2 いいね
どらやき
‏ @ttyjp
2018年5月20日

DNSSECの署名とか鍵更新とかを、自動化するスクリプトをbashで書いたのはいいけど、3ヶ月前のコードが理解できない。
0件の返信 2件のリツイート 2 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2018年1月14日

結局3次回まで行き東京で泊まってしまいました。昨日はみなさんありがとうございました。DNSSEC の困った状況を皆様に理解いただけたようで何よりです。うちの学生たちも可愛がって頂き感謝いたします。(ハントしてないで大学院に進むよう進言してあげてください w) #dnsonsen
0件の返信 2件のリツイート 6 いいね
ふぁんている
‏ @fan_tail
2017年10月4日

RFC3833が絶望感たっぷりでおもしろいですよ。/使えるならそりゃDNSSec使いたいわ…orz / “ioドメイン障害を理解するため、DNSの仕組みについて勉強した - $shibayu36->blog;” http://htn.to/QmgjFz6  #DNS
0件の返信 4件のリツイート 3 いいね
ひよこ大佐
🐣
‏ @hiyoko_taisa
2017年9月16日

まずDNSSECをちゃんと理解できていないので、勉強不足を痛感してる
0件の返信 0件のリツイート 1 いいね
Tetsuo Sakaguchi
‏ @tsaka1
2017年8月7日
返信先: @beyondDNSさん

直観的にはDNSSECに対応するつもりがなくても、組織内LAN運用(DNSリゾルバの提供方式に関わらず)する立場の人はある程度は理解できないとまずいとは思います。私自身は組織のLAN運用の矢面に立つ立場ではないので、一利用者として、「大丈夫かなぁ?」と色々確認している状況ですが。
1件の返信 0件のリツイート 1 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年8月7日
返信先: @beyondDNSさん

DNSSEC を理解していない人たちだけが推進しているようにみえます。
1件の返信 0件のリツイート 1 いいね
Aki
‏ @nekoruri
2017年8月1日

DNSSECについては是非を議論できるには理解が足りないけど、DNS層で解決するよりは4層以上で解決した方が良いのではないかとなんとなく思っている派
1件の返信 2件のリツイート 3 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日
返信先: @beyondDNSさん

もっと早く理解して、Kaminsky からしばらくの間 JPRS 周辺が DNSSEC、DNSSEC と騒いでいた頃に全貌を明らかにしていたら流れはもっと違っていたかもしれないと思っています。まあ今更な話ですが。
2件の返信 0件のリツイート 1 いいね
OFFICE DE YASAI
‏ @OFFICE_DE_YASAI
2018年12月25日

\✨900社以上導入✨/

90%以上の方が野菜不足!?

働き方改革でビジネスマンの健康を
最大限バックアップ!!

まずは無料試食から!♪
3件の返信 16件のリツイート 197 いいね
プロモーション
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2016年10月6日
返信先: @tss_ontap_oさん

DNS温泉3 のライトニングトークで取り上げたネタをより詳しく解説いたします。OARC 25 https://indico.dns-oarc.net/event/25/session/4/contribution/4 … の発表に先立ち、DNSSEC NSEC3 の欠陥を理解しましょう。
0件の返信 2件のリツイート 1 いいね
ぱぴろんちゃん
🎧
‏ @papiron
2016年10月4日

んんんdigコマンドの使い方理解しとかなきゃ。+norecurseとか+traceとか、逆引き時とか。+dnssecは使う環境が無い・・ http://www.geocities.jp/yasasikukaitou/dig.html …
0件の返信 0件のリツイート 1 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2016年6月9日

ゼミの最中に「わお」と声をあげてしまった。彼ら 2年かかってやっと理解したらしい。@OrangeMorishita @beyondDNS
% dig txt gouv\.fr @d\.nic\.fr. +dnssec +short
2件の返信 3件のリツイート 3 いいね
Yukihiro Kikuchi
‏ @yukihirokikuchi
2015年1月15日

中京大学 鈴木さん: 可用性、完全性 でも両方守れない。DNSSECでも毒入れ可能。問題になったことで理解深まったがNSに毒が入れられる。NSのTTLがDoSになる。毒は入る、一方で可用性が下がるという問題 議論がなぜなされないか疑問 #janog
0件の返信 0件のリツイート 1 いいね
Yusuke MURAMATSU
‏ @muranet
2014年4月17日
返信先: @tss_ontapさん

@tss_ontap TXT 追加して不在証明なんて意図がバレるような怪しいことせずに(DNSSEC は理解怪しいので突っ込まないで...)、別サーバを用意して co\.jp のゾーンを分ける、ってなんでしなかったんですかねぇ…。
2件の返信 0件のリツイート 1 いいね
加納智之
‏ @tomyuk
2013年8月1日

これ説明できれば DNSSEC はある程度理解していることになるそうです。 http://dnssec.jp/?page_id=595  へぇー、そうですか。お幸せに
0件の返信 1件のリツイート 2 いいね
加納智之
‏ @tomyuk
2013年7月29日

Sな先生、かく語りれり RT @tss_ontap: DNSSEC に苦しめられ、親子同居で危険な目にあい、ゾーン転送に失敗し、オープンリゾルバだと揶揄され踏み台になり、DNS の理解に苦しみ、夏祭りに参加したいなら BIND という手もありかもですね。
0件の返信 3件のリツイート 0 いいね
Tomoharu Sato
‏ @higetomo
2012年11月1日
返信先: @shigeyasさん

@shigeyas @OrangeMorishita DNSSECって、そこまで冷たい...いや、そうなるか(何となく)。やっぱり鍵整理の勉強会必要そうです>某Mさーん ホスティング事業者、利用者は、少なくとも、DNSSEC、DKIM、Webの電子署名の3つは整理理解対応が必要
1件の返信 3件のリツイート 1 いいね
Tomoharu Sato
‏ @higetomo
2012年7月6日
返信先: @jj1bdxさん

さすが。理解と説明が適格です。 RT @kenji_rikitake IP fragmentsの可能性を減らすという意味では意義のある技術だと思います。DNSSECに限らず、UDPでのVoIP/SIP/ストリーミングなども。
0件の返信 0件のリツイート 1 いいね

誠実・石油減耗時代さんがリツイートしました
Yasuhiro Morishita
‏ @OrangeMorishita
2012年2月10日

【5つのまとめ少し訂正】1)BIND限定ではなくDNSプロトコルの実装に起因する脆弱性 2)対象はBIND以外にも色々 3)使用中のドメイン名には影響がないので焦らないこと 4)キャッシュDNSサーバーにDNSSECを適用しても防げない 5)今回は拙速な対応よりも正しい理解が大切
0件の返信 12件のリツイート 4 いいね
Masaki Komagata
‏ @komagata
2010年7月31日

なるほど!DNSSECって初めて知った・・・。RT @milkcocoa: ようやく理解できた。元の記事は意味不明すぎた。 > Webを再起動する7人?んな馬鹿な話があるかいw - おっホイ別館 - はてな村の物語 http://bit.ly/b8VvAG
0件の返信 0件のリツイート 2 いいね
たくゎだ。(神戸)
‏ @tak_wada
2010年6月22日

DNSSECってBINDのセキュリティを向上する新機能らしいんで、そのうち使えないと困るんだろうけどなあ。
Fedoraのバグレポートを読んでもほとんど理解できん。http://tinyurl.com/2dq4zlw
0件の返信 0件のリツイート 1 いいね
Yuichi Uemura
‏ @u1
2010年1月20日

bindの脆弱性、DNSSECを有効にしている時のみ発動か。理解。
0件の返信 0件のリツイート 1 いいね

    ライト、ついてますか:RIGHT/Complex
    ‏ @beyondDNS
    2017年4月5日

「JPRS もそれなりに説明している委任インジェクション」:
まあ、あの説明だけで理解しろというのは無理な話だと思う。

きちんと注意喚起を出しているものがどれくらい理解されているかと比較検証すれば、おもしろそう。😍

@tss_ontap_o
1件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

委任だけを理解しているひとと、移転まで理解しているひととがほぼ同数いるという理解でいいですね。委任を理解していながら、移転が理解できていないというのは、考えづらいので、単に知らないだけだと思ったのですが、どうでしょう。
3件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

JPRSの説明では「移転通知インジェクション攻撃」とあるので、
別物だと思われた可能性は十分あります。
1件の返信 0件のリツイート 0 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日

JPRS の説明スライドには両方用語が出て来ますからわかる人はわかっているしわかっていない人はどちらにしろわかっていないでしょう。
1件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

両方でてくるのを見ているとは限らない。どう説明したか、にもよる。多数でてくるのは「移転通知」らしい。
その他の可能性としては、キャッシュを上書きするということが理解されていないこともありそう。まあ、違いの認識を知るためには別途アンケートが必要だけど...😜
2件の返信 0件のリツイート 0 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日

キャッシュの上書きの話が難しいのだと思いますよ。
1件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

間違った動作だから、まともな頭であれば、理解できないでしょう。(私も最初はまさか、と思っていました。)😍
1件の返信 0件のリツイート 1 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

それもあって、Muellerを持ち出す機会を待っていたのです。w
1件の返信 0件のリツイート 0 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日

それはいつ頃の話でしょうか > Muellerを持ち出す機会を待っていた
1件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

多分、2011年ころからです。
1件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

Muellerで毒盛できるという話はそのころに何度かしていますね。危ないので手法は表にははっきりとは書かないということ
にしてました。(そちらのKaminsky bugのページにもあったはず)
2件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

google\.comとかだったら、大丈夫そうだし、個別のAなら手間もかかるので、まあ警告は急がないでいいか。と思っていた。
でも、go.jp や co.jp NSということだと、レベルが違いすぎると
思い直して、連絡したのが2014年ですか。
2件の返信 0件のリツイート 0 いいね

浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
返信先: @beyondDNSさん

もっと早く理解して、Kaminsky からしばらくの間 JPRS 周辺が DNSSEC、DNSSEC と騒いでいた頃に全貌を明らかにしていたら流れはもっと違っていたかもしれないと思っています。まあ今更な話ですが。
22:04 - 2017年4月5日

    1件のいいね
    ライト、ついてますか:RIGHT/Complex

2件の返信 0件のリツイート 1 いいね
ライト、ついてますか:RIGHT/Complex ツイート内
テキスト
 

 

        新しい会話
        ライト、ついてますか:RIGHT/Complex
        ‏ @beyondDNS
        2017年4月5日

返信先: @tss_ontap_oさん

Kaminsky(2008)のころは世間の目はport randomizationに向いていたので、どういう毒が入るかには目を向けなかっただろうと思います。(Muellerが注目されなかった理由もそれかもしれない。) 我々はなぜ毒が入るのだろうというレベルだったし。
1件の返信 0件のリツイート 0 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日

そもそもあれで毒が入ることをおかしいと思わない人たちばかりでしたからねぇ。
2件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

はい。我々以外には。それを民田が認めたのはだいぶ後の話ですね。(BINDの不良だなんて、BINDユーザでも気づくひとは稀でしょうし。)
1件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

Authority Sectionを受け入れないようにというdraftが2008年にでてましたが、これもなぜかexpireしている。(小説ネタw)
DNSSECで全て解決という風潮に勝てなかったのかも。
1件の返信 0件のリツイート 0 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日

あの頃からずっと変わっていませんね。解決策は DNSSEC しかないという言説がずっと幅を利かせています。藤原氏が海外に出かけて行っても相手にされないのはそのせいらしいですね。
2件の返信 0件のリツイート 1 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

ありそうですね。Knot resolverの開発者のひとりもそんな感じです。私がひな形を作るしかないかと思っているのもDNSSEC派の頭の硬さです。でも、TCPとか、経路暗号化とか、少しずつ変化しています。
1件の返信 0件のリツイート 0 いいね
浸透いうな/伝播いうな/反映いうな
‏ @tss_ontap_o
2017年4月5日

藤原氏は移転インジェクションをちゃんと説明していませんからそれもいけないのだとは思いますが、まあちゃんと説明しても同じでしょうね。違う方面からのアプローチには変化があるようですが、普及はあまり期待していません。
2件の返信 0件のリツイート 0 いいね
ライト、ついてますか:RIGHT/Complex
‏ @beyondDNS
2017年4月5日

BINDの不良はいずれこっそり修正されます。(どういう形になるかは分からない。) 普及は期待できないので、自作するのが一番早い。w 危険性が大きくないものを誰が作るかというのが悩ましいので、暇人に期待するしかなさそう。
0件の返信 0件のリツイート 0 いいね

    会話の終了

    ライト、ついてますか:RIGHT/Complex
    ‏ @beyondDNS
    2017年4月5日

返信先: @tss_ontap_oさん

「2008年にNS毒の話を持ちだしていれば」はセキュリティ+SF小説くらいにはなるかもしれませんね。(誰が書いて、誰が読むか、という問題は棚上げにして)
0件の返信 0件のリツイート 0 いいね

ページの準備ができました: DNSSEC 理解 - Twitter検索

MoinQ: DNS/毒盛/tweetから/2015/2 (last edited 2021-05-02 06:49:02 by ToshinoriMaeno)