= DNS/脅威/共用ゾーンサービス/JPRS = <> <> 前野がさくらのサービスで気づいたものだが、そのことについてはまったく触れられていない。 徳丸さんのblogについても言及なし。 == 最初の警告 == http://jprs.jp/tech/security/2012-06-22-shared-authoritative-dns-server.html サービス運用上の問題に起因するドメイン名ハイジャックの危険性について (タイトルがおかしい) -- ToshinoriMaeno <> 「ドメイン名ハイジャック」及び「DNSポイズニング」の危険性に関する一連の注意喚起について +緊急対策のお願い 2012年7月4日 https://jprs.jp/tech/security/2012-07-04-risk-of-shared-dns.pdf 要点は「誰でも何でも登録できるゾーンサービスがほとんどなので、気をつけようにも気をつけられない」ということです。 JPRSとしては、そうは言えないから、苦労している。  でも、5年過ぎてもまともな説明はされていない。 -- ToshinoriMaeno <> == 実装の欠陥と運用の不備 == 親子関係にあるゾーンが同一のゾーンサーバーによってサービスされているときに、  返答方法がRFCによって規定されていないことに起因した実装の問題である。 この問題を回避するのには、運用によって登録できるゾーンを制限する必要がある。 その制限を行っていなかったのが、さくらのサービスだった。 -- ToshinoriMaeno <> == 2012/12 == 親の心子知らず? 委任にまつわる諸問題について考える Internet Week 2012  https://jprs.jp/tech/material/iw2012-lunch-L3-01.pdf   ここではゾーンが存在しない場合について、触れている。 (一般には警告されなかった。) -- ToshinoriMaeno <>