Nestačilo by mít důležité servery zapsané v souboru host.
Kontrolovala by se IP adresa z host souboru proti vrácené z DNS a prohlížeč by varoval v případě disproporce.
Zavést by to šlo rychle. Skutečnou IP adresu by bylo možné získal na klientské lince např. banky.
Prosil bych vyvést z omylu že by to TECHNICKY šlo, nebo že by to skutečně šlo.
Názory k článku
Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
aura:58
1. 10. 2008 8:49
Nový
Re: A co host soubor.
celé vlákno
A jak byste chtel takovy soubor udrzovat?
Jsou napriklad systemy, ktere Vam odpovidaji ruzne, podle toho, ze ktere IP adresy se ptate :-)
Jsou napriklad systemy, ktere Vam odpovidaji ruzne, podle toho, ze ktere IP adresy se ptate :-)
uživatel si přál zůstat v anonymitě
1. 10. 2008 10:26
Nový
Re: A co host soubor.
celé vlákno
To by slo,ale to uz tady bylo v zacatcich Internetu a pri prudkem rozvoji a narustu mnozstvi serveru uz neslo tenhle soubor nadale pri kazde zmene aktualizovat a rozesilat na vsechny servery,z toho duvodu se vymyslelo DNS.Proto uz ma /etc/host vyuziti jen ve vlastni male siti.
Doporucuji precist neco o DNS a hlavne zacatcich internetu.
Doporucuji precist neco o DNS a hlavne zacatcich internetu.
aura:71
4. 10. 2008 19:17
Nový
Re: A co host soubor.
celé vlákno
A jak se zabezpečíte proti podvrhnutí informace zapsané do host souboru?
Vždyť podvrhnutí host souboru je už dneska jeden z nejnebezpečnějších nástrojů, který se používá třeba při phishingu.
Vždyť podvrhnutí host souboru je už dneska jeden z nejnebezpečnějších nástrojů, který se používá třeba při phishingu.
astray (neregistrovaný)
1. 10. 2008 8:58
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
> V těch nejhorších scénářích může například dojít k přesměrování www stránek banky nebo nějakého zpravodajského serveru v případě, že útočník chce například způsobit paniku nebo z jiného důvodu vypustit do světa nějakou dezinformaci.
Toto zrovna považuju za detail, jelikož v normálních médiích není nic jiného než dezinformace. O to ale nejde.
Ptám se: co to bude správce domény stát? V článku bych čekal odkaz na nějaké how-to.
Toto zrovna považuju za detail, jelikož v normálních médiích není nic jiného než dezinformace. O to ale nejde.
Ptám se: co to bude správce domény stát? V článku bych čekal odkaz na nějaké how-to.
aura:58
1. 10. 2008 9:00
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Co to bude stat se musite zeptat sveho registratora.
honza (neregistrovaný)
1. 10. 2008 10:50
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Teď jsem četl na lidovkách, že to zavedli. Opravdu veledůležitý krok, nedovedu si představit tu hrůzu, že by se mi místo lidovek otevřela nějaká podvržená stránka. Třeba s atomovým hřibem. Ještě by to měli zavést na Blesku, abychom si mohli být stoprocentně jisti, že čteme dezinformace z těch správných stránek.
uživatel si přál zůstat v anonymitě
1. 10. 2008 10:51
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
:=))))
aura:92
1. 10. 2008 11:15
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Dobry den, zpravodajstvi nejsou jen bezne zpravy. Co kdyz nekdo podvrhne burzovni zpravodajstvi a podobne?
Kazdopadne k Vasemu dotazu, pro technicke informace je asi nejlepsi zacit na https://www.nic.cz/dnssec
Cenik je jiste bude lisit podle jednotlivych registratoru, musite se informovat u nich. Navic, jina bude cena podepsani a spravy zony na DNS serverech registratora a jina bude cena za poslani verejneho klice do registru.
Kazdopadne k Vasemu dotazu, pro technicke informace je asi nejlepsi zacit na https://www.nic.cz/dnssec
Cenik je jiste bude lisit podle jednotlivych registratoru, musite se informovat u nich. Navic, jina bude cena podepsani a spravy zony na DNS serverech registratora a jina bude cena za poslani verejneho klice do registru.
uživatel si přál zůstat v anonymitě
1. 10. 2008 12:15
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vláknoCo kdyz nekdo podvrhne burzovni zpravodajstvi a podobne?No, podvrzene burzovni zpravodajstvi v Lidovkach, to je skutecne katastrofa nepredstavitelneho rozsahu. V takovem pripade by byl totalni krach na vsech svetovych burzach na spadnuti. :=))))
aura:92
1. 10. 2008 12:21
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Reagoval jsem na puvodni zpravu. O lidovkach tam nikdo nemluvil. Nechapu Vas prispevek.
astray (neregistrovaný)
1. 10. 2008 12:29
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Děkuji za informaci. Ptal jsem se svého registrátora (Zoner / regzone.cz), ale prý to ještě nenabízejí, takže smolík. Budu spát dál.
1. 10. 2008 21:19
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Docela mám teď nutkání říct - "přesuňte se k nám, my DNSSEC poskytujeme". ;) Nicméně - Zoner i ostatní webhosteři budou určitě DNSSEC také ve velmi krátké době nabízet, je to jen otázka času.
Zdenek (neregistrovaný)
1. 10. 2008 13:34
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Mno, zrovna to zduraznovani www stranek banky jako kandidata na podvrzeni povazuji za nepekny FUD. Minimalne by se sluselo dodat, ze prave tohle banky jiz dnes resi pouzitim SSL, ktere je na tohle mnohem lepsi. Ale chapu to.
aura:79
1. 10. 2008 13:40
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Situace: Nemám vstup do své banky v záložkách... co udělám - vlezu na stránky banky (nezabezpečené SSL), kliknu na "Vstup do elektronického bankovnictví" (kam ten odkaz teď vlastně už vede???).
Kolik lidí si zkontroluje, že je opravdu na zabezpečených stránkách? 100% to určitě nebude.
Kolik lidí si zkontroluje, že je opravdu na zabezpečených stránkách? 100% to určitě nebude.
Zdenek (neregistrovaný)
1. 10. 2008 13:45
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Kdyby to bylo aspon ctvrtina divil bych se. Vetsina lidi odklikne i spatny certifikat. Dalsi stupen zabezpeceni je jen k dobru, ale povazuji za dobre zbytecne nestrasit. U hlupaka s tim nepochodite, u znaleho se shodite a hloubavemu to nepomuze.
1. 10. 2008 21:22
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Mě také fascinuje, jak všichni tupě importujeme certifikáty bank, které si dané banky vystavily samy. A přitom koupě kvalifikovaného certifikátu by se v rozpočtu dané banky doslova ztratila.
Každopádně se shodujeme, další vrstva zabezpečení je jen a jen vhodná.
Každopádně se shodujeme, další vrstva zabezpečení je jen a jen vhodná.
aura:92
1. 10. 2008 13:43
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Dobry den, mate urcite pravdu. Jen mala provokativni otazka k zamysleni. Vite, jak se ziskavaji SSL certifikaty? Jiste se to lisi podle certifikacnich autorit, ale nektere je vydavaji pouze za pomoci informaci ziskanych z whois vypisu pres Internet a mailu, tedy pomoci DNS! Kazdopadne takovy utok by byl technicky hodne slozity.
Zdenek (neregistrovaný)
1. 10. 2008 13:48
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Vim. Pamatuji si i aferky okolo Verisignu, kdy podepsal co nemel. A jak pisu vedle, dalsi stupen zabezpeceni je jen k dobru.
z (neregistrovaný)
2. 10. 2008 16:12
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
A co ze vyresite tim ssl ? Zeby NIC ? On je totiz podpis tzv "na domenu", nikoli na IP a pokud se dobre pripravim, neni problem mit i platny != spravny, certifikat.
Ovsem pripadny uspesny utok pomoci falesneho webu banky by mel kazdy soud/organ statni kontroly povazovat predevsim za diru v zabezpeceni baky a dat ji to take poradne sezrat. Protoze prihlasovani k uctum pomoci jmena a hesla muze pouzivat jedine idiot.
Ovsem pripadny uspesny utok pomoci falesneho webu banky by mel kazdy soud/organ statni kontroly povazovat predevsim za diru v zabezpeceni baky a dat ji to take poradne sezrat. Protoze prihlasovani k uctum pomoci jmena a hesla muze pouzivat jedine idiot.
Zdenek (neregistrovaný)
3. 10. 2008 14:20
Nový
RE: Ondřej Filip: zavedením DNSSEC chceme celý trh povzbudit
celé vlákno
Klienti ale vetsinou chteji komunikovat s urcitou domenou a ne s IP adresou. Pokud tou dobrou pripravou myslite, krome podvrzeni dns i obelhani uzivatele aby veril vasi CA pak jiste, nemate problem. Ale to uz se takoveho uzivatele muzu zeptat na to jmeno a heslo rovnou.
Prave ze idiot prihlasovani pomoci jmena a hesla pouzivat nemuze. Pri tomto zpusobu totiz musite myslet a nevkladat tyto udaje kamkoliv.
Prave ze idiot prihlasovani pomoci jmena a hesla pouzivat nemuze. Pri tomto zpusobu totiz musite myslet a nevkladat tyto udaje kamkoliv.
NN (neregistrovaný)
1. 10. 2008 12:43
Nový
otázka
celé vlákno
A co když zde budou dvě podepsané domény lupa.cz se stejným obsahem?
aura:92
1. 10. 2008 13:46
Nový
Re: otázka
celé vlákno
Domena je vzdy unikatni identifikator, nemuzou existovat v systemu CZ.NICu dve stejne a to ani nepodepsane.
z (neregistrovaný)
2. 10. 2008 16:15
Nový
Re: otázka
celé vlákno
"Domena je vzdy unikatni identifikator"
Pokud vite jak DNS funguje, tak jiste vite, ze to neni pravda.
"nemuzou existovat v systemu CZ.NICu dve stejne"
To pravdepodobne pravda je, ale kdo tvrdi, ze vam nepodam podepsanou domenu v alternativnim domenovem strome ? Vy budete kontrolovat hash podpisu nebo se spokojite s tim, ze vam nejaky nastroj rekne "domena je podepsana" ?
Pokud vite jak DNS funguje, tak jiste vite, ze to neni pravda.
"nemuzou existovat v systemu CZ.NICu dve stejne"
To pravdepodobne pravda je, ale kdo tvrdi, ze vam nepodam podepsanou domenu v alternativnim domenovem strome ? Vy budete kontrolovat hash podpisu nebo se spokojite s tim, ze vam nejaky nastroj rekne "domena je podepsana" ?
aura:92
2. 10. 2008 16:31
Nový
Re: otázka
celé vlákno
V soucasne dobe (nastesti) existuje pouze jediny oficialni domenovy strom. Zadny z pokusu o vytvoreni alternativ nebyl uspesny. Tedy proto tvrdim, ze domena je unikatni identifikator.
Co si predstavujete pod pojmem "podam podepsanou
domenu v alternativnim domenovem strome"? Co? Kam?
Co si predstavujete pod pojmem "podam podepsanou
domenu v alternativnim domenovem strome"? Co? Kam?
X (neregistrovaný)
1. 10. 2008 16:21
Nový
Re: otázka
celé vlákno
Prosim vas,nez se rozhodnete nekde prispet do diskuze,tak dejte alespon trochu sance samostudiu,nez placnete takovy nesmysl.
Bobrnautus (neregistrovaný)
1. 10. 2008 17:37
Nový
Supr věc
celé vlákno
Supr práce, hlavně se mi líbí, že máte návody na nastavení i pro unbound, bind už mi na servery nesmí hodně dlouho. :-) No flame please. :-D
Necros (neregistrovaný)
3. 10. 2008 9:47
Nový
Nepadla zasadni otazka
celé vlákno
Kdy bude podepsana rootovska zona? ;-)
aura:92
3. 10. 2008 10:16
Nový
Re: Nepadla zasadni otazka
celé vlákno
Dobry den,
dekuji za tu otazku. Presnou odpoved neznam, ale pokusim se trochu naznacit. Je evidentni, ze administrativa USA meni svuj dosavadni postoj. Nedavno bylo narizeno, aby domena .gov a vsechny poddomeny (!) byly podepsany do konce roku 2009. Blize to komentoval kolega Sury na blogu CZ.NICu.
Dalsi indicii je program pristiho zasedani organizace ICANN. Ackoliv se ocekavalo, ze toto zasedani bude hlavne o zavedeni dotIDN, vyznamne vybory a maji na programu DNSSEC a prirozene se mimo jine budou probirat vysledky spusteni v Ceske Republice.
Pokusim se odpovedet velmi odlehcene: "Davam podpisu rootu rok, maximalne dva!"
pupu (neregistrovaný)
7. 10. 2008 13:18
Nový
konference
celé vlákno
Pekne, hned to jdu vyzkouset. Zatim jsem narazil jen na self-signed certifikat od lists.nic.cz ;-)
