Комментарии 28
Техподдержка молчит, при обращении пишут что ответят через 3 дня. Мне кажется стоит поменять их… Может посоветует кто подобный, бесплатный и качественный, в идеале Российский?
Жёлтый означает же, 1 февраля ничего не отвалится, но всё равно dns-сервер староват. Что тогда в вашем обращении в поддержку такого, что реагировать на него нужно быстрее обычного регламента?
This domain is going to work after the 2019 DNS flag day BUT it does not support the latest DNS standards. As a consequence this domain cannot support the latest security features and might be an easier target for network attackers than necessary, and might face other issues later on. We recommend your domain administrator to fix issues listed in the following
Там нет указаний на конкретные DNS-стандарты, которые не поддерживаются DNS-сервером, поэтому уровень угрозы неизвестен. Всё ещё не вижу повода быстро-быстро реагировать.
Но прочитав описание двух обнаруженных ошибок мы приходим к тому, что нарушение dns-серверов Яндекса в том, что они считают запрос корректным и возвращают SOA-запись даже если передать заведомо неверную версию протокола или опции edns. Чтобы от этого появился вред, нужно чтобы в мире действительно появились edns1 и edns1opt, и ответ SOA-записью интерпретировался бы запрашивающим как-то крайне плохо.
И мне всё ещё не видится это чем-то из разряда "ааа, срочно фиксить". Я снова упустил какой-то нюанс?
Разве сложно это исправить, когда все это деают и забыть об этом уже до следующих версий edns2 ???
Напоминаю, этот тред начался с вашего сообщения, которое содержало следующие слова:
Техподдержка молчит, при обращении пишут что ответят через 3 дня. Мне кажется стоит поменять их…
Собственно, я вроде бы вам доказал, что эта "уязвимость" не из тех, которая не может подождать эти 3 дня. Она и 10 прождёт, если нужно.
Меняйте DNS сколько хотите, конечно. Но мотивация в этот раз была ошибочна.
Этот подход называется «сервис для клиентов», который у Яндекса — «ничего страшного, потом поправим, время есть».
который у Яндекса — «ничего страшного, потом поправим, время есть».
Итогом работы над безопасностью должна быть безопасность, а не зелёный знак. Hearthbleed думаю был залатан с максимально возможной быстротой. А просто обновлять dns-сервер ради обновления, если текущая версия поддерживает всё что нужно — это не заниматься сейчас какой-то более важной штукой. Всему своё время, причину спешить с обнаруженными "уязвимостями" я так и не увидел.
Ну вообще-то да, если зарплата задерживается на пару дней, то это не повод паниковать, а декабрьская и апрельская у нас достаточно часто бывает и на неделю задержится.
Крепкого здоровья вам!
Ну так аналогия-то у вас фиговая.
У меня другая аналогия. Стало известно, что с июня этого года у всех банкнот сменится дизайн, но при этом банкноты текущего образца продолжат свое обращение не меньше года, а если их когда-нибудь решат изъять, то их просто запретят выдавать, но принимать будут все обязаны как минимум до конца срока жизни новых банкнот. Но вам все равно: раз есть новые, работодатель должен вам выдавать в кассе только новые, иначе тьфу на этого работодателя, лучше найти нового, который только новыми будет выплачивать.
Это тоже не до конца правильная аналогия, не придумал как в ней обыграть то, что какие-то DNS-серверы действительно перестанут работать, но остальное отражает вроде неплохо.
Версия достаточно древняя, и edns по-умолчанию включен — во всяком случае, так указано в документации.
Т.е. повода для беспокойства нет, или я что-то упускаю?
По поводу «грома» — самый яркий пример — IPv4. Уже который год на каждом углу вопли «ой, уже всё», а воз и ныне там по болшей части.
Что-что случится 1 февраля?
1 февраля — древний праздник имболк! :)
Что-что случится 1 февраля?