## page was renamed from DNS/毒盛/tweet/2 DNS/毒盛/tweet/2について、ここに記述してください。 {{{ DNSSEC を何にも理解していないだろ 世界的にみても話題にするひとが稀なのはどういうことなのでしょうね。(危険性を理解できていないと思いたい。) あるいは、分っていても対応する気がないのか。(DNSSEC頼み) 悪いやつらに理解させないままそっとしておくくらい? ライト、ついてますか:RIGHT/Complexさんが追加 浸透いうな/伝播いうな/反映いうな @tss_ontap_o DNS 温泉 番外編 (第一フラグメント便乗攻撃の理解のために) http://www.e-ontap.com/blog/20190117.html … 1件の返信 2件のリツイート 3 いいね このスレッドを表示 ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2016年9月20日 dns.jp ゾーンは現在もDNSSEC対応していないという理解であっていますか。 0件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2018年11月7日 否定返答でNSレコードを紛れこませる以外の攻撃も解説されているので、この論文をきちんと理解しておくことが重要だと思った。(精読中) DNSSECによる返答の巨大化は恐れるべきだ。(KSKロールオーバーなどはとるに足らず) 0件の返信 0件のリツイート 1 いいね このスレッドを表示 Aha! ‏認証済みアカウント @aha_io 2月13日 Your product manager will love this. Start a free trial today. 0件の返信 1件のリツイート 2 いいね プロモーション ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年8月19日 DNSSECを使うのであれば、EDNS関連の理解は必須です。 (KSKロールオーバーの話は問題発覚のきっかけになる可能性がなくもない、という程度) その上で、TCP/53を使う。それだけでは問題解決とはいかない。😱UDPサイズを小さく設定すること。 0件の返信 2件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2015年1月16日 「逆引きに有害なDNSSEC」: どう理解したらいいのか、わからない。 正引きに有害なDNSSECもありそうだが。 0件の返信 1件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2018年4月13日 authority sectionによる毒盛を排除しないBINDはDNSSECの普及度が低いことを理解しているのだろうか。 1件の返信 0件のリツイート 1 いいね このスレッドを表示 ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年9月16日 返信先: @kotatuさん ルートゾーンKSK更新のせいでDNS(SEC)返答が大きくなるのですから、DNSSECを使っていなければ、関係ないという理解をしています。(DNSSECを使っていなくても、今回の件に関係なく大きな返答がくるかもしれないが、まったく別の話です。) 0件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2014年6月7日 それでDNSSECは安全なんでしょうか。どうやったら、それを簡単に理解できるのでしょうか。 0件の返信 1件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年8月26日 ライト、ついてますか:RIGHT/ComplexさんがJoji Maenoをリツイートしました 総務省もおかしな報道資料を作るくらいなら、 まずは省内でDNSSEC対応を義務化してみればいい。 そうすれば、どれだけ理不尽なことを言ったか、少しは理解できる可能性がなくもない。😱 ライト、ついてますか:RIGHT/Complexさんが追加 Joji Maeno @joji 返信先: @tss_ontapさん そのようなリスク評価をしているだけのことだろうと…米連邦部局はDNSSECが義務付けられているにも関わらずですので、この温度差は何でしょうね。表面温度だけかも… 0件の返信 3件のリツイート 2 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2012年10月2日 いまの状態では末端ドメインにはDNSSECは普及しそうもないと理解したのかも。 「正しい認識」。(JPRS) 0件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2018年12月15日 RFC 2181 (1997) はその名のとおり、Clarifications であり、 「毒盛脆弱性があっても仕方ない」とするものではない。 現時点ではDNSとはその程度のものだという理解は必要ではあるが、DNSSECのような手間をかけることなく、より安全を目指すことも必要だ。 1件の返信 0件のリツイート 0 いいね このスレッドを表示 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 12時間12時間前 第一フラグメント便乗攻撃を理解していない人に DNSSEC を何にも理解していないだろって言われてもなぁ。 0件の返信 1件のリツイート 1 いいね ふみやす@シェルまおう(自称でない) .JSON ‏ @satoh_fumiyasu 2月16日 この理解であってる? 1. DNSSEC の応答はサイズが大きくフラグメント発生しやすい。 2. NSEC3 RR はランダム名(不在名)問合せのキャッシュが効かないので毎回権威に問合せが必要。 3. 委任応答の NS はランクが高いので偽装応答内の NS をキャッシュが採用してしまう。 #dnsonsen 1件の返信 0件のリツイート 1 いいね このスレッドを表示 Manabu Sonoda ‏ @mimuret 2月15日 DNSSECがいらない、危険とほざいてるやつは、結局何も理解できてないのさ。 0件の返信 0件のリツイート 0 いいね ゴッチ@(・∀・)落ち着いて!! ‏ @sakuratrang 2018年12月24日 暗号化(信頼の連鎖)だけでも読んでみては?このサイトを読んで、電子署名についてやっと理解ができました。 JPNIC DNSSECの仕組みの詳細 https://www.nic.ad.jp/ja/newsletter/No43/0800.html … 0件の返信 0件のリツイート 2 いいね どらやき ‏ @ttyjp 2018年5月20日 DNSSECの署名とか鍵更新とかを、自動化するスクリプトをbashで書いたのはいいけど、3ヶ月前のコードが理解できない。 0件の返信 2件のリツイート 2 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2018年1月14日 結局3次回まで行き東京で泊まってしまいました。昨日はみなさんありがとうございました。DNSSEC の困った状況を皆様に理解いただけたようで何よりです。うちの学生たちも可愛がって頂き感謝いたします。(ハントしてないで大学院に進むよう進言してあげてください w) #dnsonsen 0件の返信 2件のリツイート 6 いいね ふぁんている ‏ @fan_tail 2017年10月4日 RFC3833が絶望感たっぷりでおもしろいですよ。/使えるならそりゃDNSSec使いたいわ…orz / “ioドメイン障害を理解するため、DNSの仕組みについて勉強した - $shibayu36->blog;” http://htn.to/QmgjFz6 #DNS 0件の返信 4件のリツイート 3 いいね ひよこ大佐 🐣 ‏ @hiyoko_taisa 2017年9月16日 まずDNSSECをちゃんと理解できていないので、勉強不足を痛感してる 0件の返信 0件のリツイート 1 いいね Tetsuo Sakaguchi ‏ @tsaka1 2017年8月7日 返信先: @beyondDNSさん 直観的にはDNSSECに対応するつもりがなくても、組織内LAN運用(DNSリゾルバの提供方式に関わらず)する立場の人はある程度は理解できないとまずいとは思います。私自身は組織のLAN運用の矢面に立つ立場ではないので、一利用者として、「大丈夫かなぁ?」と色々確認している状況ですが。 1件の返信 0件のリツイート 1 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年8月7日 返信先: @beyondDNSさん DNSSEC を理解していない人たちだけが推進しているようにみえます。 1件の返信 0件のリツイート 1 いいね Aki ‏ @nekoruri 2017年8月1日 DNSSECについては是非を議論できるには理解が足りないけど、DNS層で解決するよりは4層以上で解決した方が良いのではないかとなんとなく思っている派 1件の返信 2件のリツイート 3 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 返信先: @beyondDNSさん もっと早く理解して、Kaminsky からしばらくの間 JPRS 周辺が DNSSEC、DNSSEC と騒いでいた頃に全貌を明らかにしていたら流れはもっと違っていたかもしれないと思っています。まあ今更な話ですが。 2件の返信 0件のリツイート 1 いいね OFFICE DE YASAI ‏ @OFFICE_DE_YASAI 2018年12月25日 \✨900社以上導入✨/ 90%以上の方が野菜不足!? 働き方改革でビジネスマンの健康を 最大限バックアップ!! まずは無料試食から!♪ 3件の返信 16件のリツイート 197 いいね プロモーション 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2016年10月6日 返信先: @tss_ontap_oさん DNS温泉3 のライトニングトークで取り上げたネタをより詳しく解説いたします。OARC 25 https://indico.dns-oarc.net/event/25/session/4/contribution/4 … の発表に先立ち、DNSSEC NSEC3 の欠陥を理解しましょう。 0件の返信 2件のリツイート 1 いいね ぱぴろんちゃん 🎧 ‏ @papiron 2016年10月4日 んんんdigコマンドの使い方理解しとかなきゃ。+norecurseとか+traceとか、逆引き時とか。+dnssecは使う環境が無い・・ http://www.geocities.jp/yasasikukaitou/dig.html … 0件の返信 0件のリツイート 1 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2016年6月9日 ゼミの最中に「わお」と声をあげてしまった。彼ら 2年かかってやっと理解したらしい。@OrangeMorishita @beyondDNS % dig txt gouv\.fr @d\.nic\.fr. +dnssec +short 2件の返信 3件のリツイート 3 いいね Yukihiro Kikuchi ‏ @yukihirokikuchi 2015年1月15日 中京大学 鈴木さん: 可用性、完全性 でも両方守れない。DNSSECでも毒入れ可能。問題になったことで理解深まったがNSに毒が入れられる。NSのTTLがDoSになる。毒は入る、一方で可用性が下がるという問題 議論がなぜなされないか疑問 #janog 0件の返信 0件のリツイート 1 いいね Yusuke MURAMATSU ‏ @muranet 2014年4月17日 返信先: @tss_ontapさん @tss_ontap TXT 追加して不在証明なんて意図がバレるような怪しいことせずに(DNSSEC は理解怪しいので突っ込まないで...)、別サーバを用意して co\.jp のゾーンを分ける、ってなんでしなかったんですかねぇ…。 2件の返信 0件のリツイート 1 いいね 加納智之 ‏ @tomyuk 2013年8月1日 これ説明できれば DNSSEC はある程度理解していることになるそうです。 http://dnssec.jp/?page_id=595 へぇー、そうですか。お幸せに 0件の返信 1件のリツイート 2 いいね 加納智之 ‏ @tomyuk 2013年7月29日 Sな先生、かく語りれり RT @tss_ontap: DNSSEC に苦しめられ、親子同居で危険な目にあい、ゾーン転送に失敗し、オープンリゾルバだと揶揄され踏み台になり、DNS の理解に苦しみ、夏祭りに参加したいなら BIND という手もありかもですね。 0件の返信 3件のリツイート 0 いいね Tomoharu Sato ‏ @higetomo 2012年11月1日 返信先: @shigeyasさん @shigeyas @OrangeMorishita DNSSECって、そこまで冷たい...いや、そうなるか(何となく)。やっぱり鍵整理の勉強会必要そうです>某Mさーん ホスティング事業者、利用者は、少なくとも、DNSSEC、DKIM、Webの電子署名の3つは整理理解対応が必要 1件の返信 3件のリツイート 1 いいね Tomoharu Sato ‏ @higetomo 2012年7月6日 返信先: @jj1bdxさん さすが。理解と説明が適格です。 RT @kenji_rikitake IP fragmentsの可能性を減らすという意味では意義のある技術だと思います。DNSSECに限らず、UDPでのVoIP/SIP/ストリーミングなども。 0件の返信 0件のリツイート 1 いいね 誠実・石油減耗時代さんがリツイートしました Yasuhiro Morishita ‏ @OrangeMorishita 2012年2月10日 【5つのまとめ少し訂正】1)BIND限定ではなくDNSプロトコルの実装に起因する脆弱性 2)対象はBIND以外にも色々 3)使用中のドメイン名には影響がないので焦らないこと 4)キャッシュDNSサーバーにDNSSECを適用しても防げない 5)今回は拙速な対応よりも正しい理解が大切 0件の返信 12件のリツイート 4 いいね Masaki Komagata ‏ @komagata 2010年7月31日 なるほど!DNSSECって初めて知った・・・。RT @milkcocoa: ようやく理解できた。元の記事は意味不明すぎた。 > Webを再起動する7人?んな馬鹿な話があるかいw - おっホイ別館 - はてな村の物語 http://bit.ly/b8VvAG 0件の返信 0件のリツイート 2 いいね たくゎだ。(神戸) ‏ @tak_wada 2010年6月22日 DNSSECってBINDのセキュリティを向上する新機能らしいんで、そのうち使えないと困るんだろうけどなあ。 Fedoraのバグレポートを読んでもほとんど理解できん。http://tinyurl.com/2dq4zlw 0件の返信 0件のリツイート 1 いいね Yuichi Uemura ‏ @u1 2010年1月20日 bindの脆弱性、DNSSECを有効にしている時のみ発動か。理解。 0件の返信 0件のリツイート 1 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 「JPRS もそれなりに説明している委任インジェクション」: まあ、あの説明だけで理解しろというのは無理な話だと思う。 きちんと注意喚起を出しているものがどれくらい理解されているかと比較検証すれば、おもしろそう。😍 @tss_ontap_o 1件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 委任だけを理解しているひとと、移転まで理解しているひととがほぼ同数いるという理解でいいですね。委任を理解していながら、移転が理解できていないというのは、考えづらいので、単に知らないだけだと思ったのですが、どうでしょう。 3件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 JPRSの説明では「移転通知インジェクション攻撃」とあるので、 別物だと思われた可能性は十分あります。 1件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 JPRS の説明スライドには両方用語が出て来ますからわかる人はわかっているしわかっていない人はどちらにしろわかっていないでしょう。 1件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 両方でてくるのを見ているとは限らない。どう説明したか、にもよる。多数でてくるのは「移転通知」らしい。 その他の可能性としては、キャッシュを上書きするということが理解されていないこともありそう。まあ、違いの認識を知るためには別途アンケートが必要だけど...😜 2件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 キャッシュの上書きの話が難しいのだと思いますよ。 1件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 間違った動作だから、まともな頭であれば、理解できないでしょう。(私も最初はまさか、と思っていました。)😍 1件の返信 0件のリツイート 1 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 それもあって、Muellerを持ち出す機会を待っていたのです。w 1件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 それはいつ頃の話でしょうか > Muellerを持ち出す機会を待っていた 1件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 多分、2011年ころからです。 1件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 Muellerで毒盛できるという話はそのころに何度かしていますね。危ないので手法は表にははっきりとは書かないということ にしてました。(そちらのKaminsky bugのページにもあったはず) 2件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 google\.comとかだったら、大丈夫そうだし、個別のAなら手間もかかるので、まあ警告は急がないでいいか。と思っていた。 でも、go.jp や co.jp NSということだと、レベルが違いすぎると 思い直して、連絡したのが2014年ですか。 2件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 返信先: @beyondDNSさん もっと早く理解して、Kaminsky からしばらくの間 JPRS 周辺が DNSSEC、DNSSEC と騒いでいた頃に全貌を明らかにしていたら流れはもっと違っていたかもしれないと思っています。まあ今更な話ですが。 22:04 - 2017年4月5日 1件のいいね ライト、ついてますか:RIGHT/Complex 2件の返信 0件のリツイート 1 いいね ライト、ついてますか:RIGHT/Complex ツイート内 テキスト 新しい会話 ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 返信先: @tss_ontap_oさん Kaminsky(2008)のころは世間の目はport randomizationに向いていたので、どういう毒が入るかには目を向けなかっただろうと思います。(Muellerが注目されなかった理由もそれかもしれない。) 我々はなぜ毒が入るのだろうというレベルだったし。 1件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 そもそもあれで毒が入ることをおかしいと思わない人たちばかりでしたからねぇ。 2件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 はい。我々以外には。それを民田が認めたのはだいぶ後の話ですね。(BINDの不良だなんて、BINDユーザでも気づくひとは稀でしょうし。) 1件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 Authority Sectionを受け入れないようにというdraftが2008年にでてましたが、これもなぜかexpireしている。(小説ネタw) DNSSECで全て解決という風潮に勝てなかったのかも。 1件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 あの頃からずっと変わっていませんね。解決策は DNSSEC しかないという言説がずっと幅を利かせています。藤原氏が海外に出かけて行っても相手にされないのはそのせいらしいですね。 2件の返信 0件のリツイート 1 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 ありそうですね。Knot resolverの開発者のひとりもそんな感じです。私がひな形を作るしかないかと思っているのもDNSSEC派の頭の硬さです。でも、TCPとか、経路暗号化とか、少しずつ変化しています。 1件の返信 0件のリツイート 0 いいね 浸透いうな/伝播いうな/反映いうな ‏ @tss_ontap_o 2017年4月5日 藤原氏は移転インジェクションをちゃんと説明していませんからそれもいけないのだとは思いますが、まあちゃんと説明しても同じでしょうね。違う方面からのアプローチには変化があるようですが、普及はあまり期待していません。 2件の返信 0件のリツイート 0 いいね ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 BINDの不良はいずれこっそり修正されます。(どういう形になるかは分からない。) 普及は期待できないので、自作するのが一番早い。w 危険性が大きくないものを誰が作るかというのが悩ましいので、暇人に期待するしかなさそう。 0件の返信 0件のリツイート 0 いいね 会話の終了 ライト、ついてますか:RIGHT/Complex ‏ @beyondDNS 2017年4月5日 返信先: @tss_ontap_oさん 「2008年にNS毒の話を持ちだしていれば」はセキュリティ+SF小説くらいにはなるかもしれませんね。(誰が書いて、誰が読むか、という問題は棚上げにして) 0件の返信 0件のリツイート 0 いいね ページの準備ができました: DNSSEC 理解 - Twitter検索 }}}