URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123324
[ Назад ]
Исходное сообщение
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-over-HTTPS"
Отправлено opennews , 19-Фев-21 11:22 
Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма  XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH  доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7.  После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54617

Содержание
Сообщения в этом обсуждении
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Таненбаум , 19-Фев-21 11:22 
вот и славно
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено YetAnotherOnanym , 19-Фев-21 12:09 
Вооот, теперь и в коде, обеспечивающем DoH и DoT, тоже будут находить дыры.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пох. , 19-Фев-21 13:26 
Естественно, поскольку это невменяемая блоатварь. Для того, впрочем, и брали.

И да, вишенка на тортике - "когда-нибудь, может быть, мы эту зависимость от ненужно сделаем отключаемой".

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Онаним , 19-Фев-21 14:13 
DoH - да, в определённой мере блоаттварь. DoT - не очень. Биндинги к OpenSSL особо не напрягают.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пох. , 19-Фев-21 14:34 
Оба сорта одного и того же. Был у вас эффективный connectionless и stateless протокол - да уже весь сплыл.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено AnonymPatient , 20-Фев-21 04:24 
>Был у вас эффективный connectionless и stateless протокол - да уже весь сплыл.

1500, UDP - понимаю проблемы, но

есть же SCTP, слабосоображающие, нет (тут матюг) лезут еще со своей текство-портянкой HTTP, прочим json`om

замусорили своими костылями всю RR TXT, корпoративные редиски;
WiKi мультииерoглифную туда(TXT) еще вкорячить, слов нет, (и тут матюг) лица по комитетам сидят - стандартиризаторы (матюк легкой степени), полнейшая мешанина бинарно-текстовая по факту

там еще npm и прочий js не планирют прикручиват в BIND9 ?

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено crypt , 21-Фев-21 10:40 
тоже вижу это как минус. так со всем айти происходит, к сожалению. это еще чудо, что из-за большой инерции у нас сохраняются базовые IP протоколы. из плюсов: может, DDoSить через DNS будут меньше.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пациентович , 21-Фев-21 15:44 
> из плюсов: может, DDoSить через DNS будут меньше.

Какие, *ть плюсы - тут куча матюков...

Завернут DNS службу через всех "облачных" *ов(МАТЮГ 100500 ЛЕВЕЛА),
а в ПРЕДЕЛЕ  ХОТЯТ СДЕЛАТЬ ТАК - что за каждый !!! DNS запрос будете ОТСТЕГИВАТЬ И ОТКАШЛИВАТЬ
Будет вам ПОЛНЕЙШИЙ DnsAAS - куда ЭТИ УБЛАЧНЫЕ PEДИСКИ( МАТЮГ 100500 ЛЕВЕЛА)  ЗАТACКИВАЮТ

С НАСТУПАЮЩИМ ДИВНЫМ НОВЫМ ИНТЕНРЕТОМ

- КРЕДИТ ЗАПРОСОВ ДЛЯ ВАШЕГО ДОМЕНА В ЭТОМ МЕСЯЦЕ ИСЧЕРПАН, ПОПОЛНИТЕ БАЛАНС
- ДОПОЛНИТЕЛЬНО ВАМ НАДО ПРОДЛИТЬ ВРЕМЯ ДЕСТВМЯ SSL-СЕРТИФИКАТА ДЛЯ ВАШЕГО ДОМЕНА

P.S.:
Походу и РЕБЯТA с УOЛЛ-CTРИТА и их дочерние структуры ПОДОФИГЕЛИ - cyкa,
к чему не прикaсаются - ВСЕ МАРЕКТ ПЫТАЮТСЯ ПРЕВРАТИТЬ

БАНKCТЕРЫ - ВООБЩЕ БЕРЕГА ПОТЕРЯЛИ

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пациентович , 21-Фев-21 16:05 
ЕЩЕ ДОПОЛНЮ,

Примечaние, для модераторов - все мною сказаное - в ЗДРАВОМ рассудке и ТРЕЗВОЙ памяти

MАТЬ, MAТЬ, MAТЬ - мало того,
что весь HTTP и прочий WEB загадили повальным SSL и прочим JS,
всю инфрaструктуру хотят ОБМЕНЕТИЗИРОВАТЬ & ( и всмысле)ЗAГAДИТЬ

СЛОВ НЕТ - ТОРГАШИ ХРЕНОВЫ

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пох. , 22-Фев-21 20:11 
> из плюсов: может, DDoSить через DNS будут меньше.

учитывая что ддосить теперь будут с адресов гугля прекрасным http3 - да, меньше, кому нах сдался тот мамонтов кал в dns, который еще и половина васянов позаблокирует без разбора (ведь ихнему 1.1.1.1 ничего работать не помешает).


Дайте другой глобус, этому п-ц уже почти наступил.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 19-Фев-21 12:39 
Переписать на Rust! Make Bind great again
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Сейд , 19-Фев-21 13:32 
https://github.com/bluejekyll/trust-dns
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Rustishishka , 19-Фев-21 14:01 
Rust не гарантирует отсутствие UB
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено YetAnotherOnanym , 19-Фев-21 17:07 
> Make Bind bound again

Не благодари.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Онаним , 19-Фев-21 14:09 
Накотец-то.
Одним биндом охватить всё - это просто праздник какой-то.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Онаним , 19-Фев-21 14:10 
А то, что поддерживает работу за балансировщиком - и вообще прекрасно.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Онаним , 19-Фев-21 14:15 
Верифицируемый TLS для передачи зон - вообще прекрасно, можно будет VPN местами разобрать.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Ssss , 19-Фев-21 15:11 
Есть нормальный DNS over TLS, нет, надо было эту хрень over HTTPS делать
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Сейд , 19-Фев-21 18:28 
А у меня на работе открыт только 443 порт.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 19-Фев-21 19:47 
Перепишем же на расте весь днс пару раз во славу твоего открытого 443го порта на работе.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 20-Фев-21 11:42 
Значит на х нужен такой работодатель.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Сейд , 20-Фев-21 12:54 
Я там не за Интернет, а за зарплату работаю.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пох. , 19-Фев-21 23:33 
А чего в нем нормального-то? Такой же лютейший трэш и п-ц...

http/2 хотя бы рано или поздно доведут до рабочего вида (поскольку этим занимается не isc). А там - надежды никакой.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено th3m3 , 19-Фев-21 15:26 
А как скоро завезут ECH (Encrypted Client Hello)? А то Mozilla в Firefox резко на него перешла, теперь заблоченные сайты опять нужно на прокси насаживать.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено msgod , 19-Фев-21 17:54 
И в каких операционных системах системный резольвер поддерживает эти дох и дот?

На браузеропомойки плевать. Давайте на уровне системного резольвера.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено depo , 19-Фев-21 19:08 
> Давайте на уровне системного резольвера.

Ну давайте. С криокамеры только вылез?

https://shivering-isles.com/Configure-DoT-on-systemd-resolved

https://developers.cloudflare.com/1.1.1.1/dns-over-https/clo...

https://github.com/testdasi/pihole-dot-doh

https://www.bentasker.co.uk/documentation/linux/407-building...

https://www.nginx.com/blog/using-nginx-as-dot-doh-gateway/

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено msgod , 19-Фев-21 20:03 
И что из этого является системным ресольвером?
GetHostByName из libc? Не не слышали.
Ну и гнушники пошли ныне.
Уже мокрописьки считают частью системы
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 19-Фев-21 19:09 
системдос
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Stax , 19-Фев-21 22:54 
В самой распространенной в мире ОС - поддерживает на уровне системного: https://www.bleepingcomputer.com/news/security/microsoft-add...в пользовательский релиз вошло начиная с 2004)

А что касается линукса, так как бы NSS поверх systemd-resolved (nss-resolve) уже не первый год в glibc. Пропишите "hosts:          mymachines resolve [!UNAVAIL=return] files myhostname" в nsswitch.conf и DNS over HTTP в systemd-resoled и все будет как пожелаете. С точки зрения pluggable архитектуры NSS нет никакой разницы, используете ли вы libnss_resolve или libnss_dns.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Х , 19-Фев-21 19:20 
В РКН еще не добавили альфа-поддержку блокировки этого счастья?
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Pahanivo , 19-Фев-21 21:57 
Блокировку чего-то "over HTTPS" приказать то можно, вот только сделать ... ))
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 20-Фев-21 11:44 
В НурСултанСтане же сделали.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Pahanivo , 25-Фев-21 14:04 
> В НурСултанСтане же сделали.

Анальным зондом с подменой сертификата?

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Dima1 , 20-Фев-21 23:46 
только в США добавили. Тым мало того, что просто так банят сотни тысяч аккаунтов, так уже стали целые страны блокировать. Ты отстал от жизни.
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 19-Фев-21 20:19 
BIND впереди планеты всей!
"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено пох. , 22-Фев-21 20:13 
> BIND впереди планеты всей!

это зад.

"В DNS-сервер BIND добавлена экспериментальная поддержка DNS-..."
Отправлено Аноним , 25-Фев-21 11:09 
Встроенный http-сервер - это сильно.