何を言っているのかわからないでしょうが、「まさか」なレンタルDNSコンテンツサーバを発見してしまってショックを隠しきれず、とりあえずブログに殴り書きをしています。
■ 「さくらDNSにサブドメインハイジャックを許す脆弱性」ってのは過小評価、という記事を先日書き、JPRSからも注意喚起文書が出たところですが、どんなゾーンのデータでも登録できてしまい、しかもキャッシュ兼用などというレンタルサーバを提供している、とんでもない「まさか」のレンタルDNSプロバイダが存在しているのを見つけてしまいました。たまたまなので他にも危ないところはたくさんあるのではないでしょうかね、、、
今夜は頭も胃も痛くなってきたので詳細は後日にまわすことにして、梅酒飲んで寝ます。
6/26追記
この記事について、stealthinu さんが「どんなドメインも登録できてしまうDNSサーバの危険性」という解説記事を書いてくださいました。どうもありがとうございます。世間に危険性が理解されていないのではないかという焦りが感じられますね。私も近いうちに続報を書くつもりです。
Copyright by T.Suzuki
ありがとうございます。もう心配してもきりがないな、捨てる(なにを)しかないな、という気持ちです。<br><br>当事者に通告しただけでは公表できませんね。<br>利用者を守る必要がありますが、無理かもしれません。<br><br>同類が100はあると思えという先人の教えに従います。<br><br>私は「まさか」、「まさか」組でしたが、もう「まさか」は言いません。
「まさか」サーバをJP登録しているドメインは手元に80こほどあります。<br>この10 倍はあるはずです。<br><br>JP登録を末梢してもらいたいな。<br><br>公表時にはサブドメインがハイジャックできるという脆弱性は関係ないことも書いて<br>おいた方が誤解されないと思う。日本語読解能力の低いひとがパニックしないように。
問題の業者は JPRS の指定事業者つまりレジストラです。DNS業界がでたらめな状態になってしまっているのは、いいかげんなレジストラを許してきた JPRS の責任だと思います。ちまちましたごまかしの対応しかしないようであれば、わかっていることをすべて Full-Disclosure したいと思います。
それ以上のひどい状況なので、よけいパニックになるかもしれませんよ > サブドメインがハイジャックできるという脆弱性は関係ない
余計パニックする、というのはそうかも。<br> サブドメインハイジャックの脆弱性に関係なく、脆弱ですから。<br><br>覚悟のほどは承りました。こちらもできる支援はします。<br> 隠居の身ですから、怖いものは家内だけかも。
誤解があって、脆弱だと思い込んだのですが、この件についての「まさか」は取り消します。よくある話でした。キャッシュ兼用ではなく、権威サーバが再帰検索を許す<br>設定になっているだけという理解をしています。キャッシュとして使うと危険ですが。
最初からそういう話です。
「まさかまさか」なのは、レジストラよりも、ISPがユーザに公開しているサーバでこういうケースがあるのではないかという話です。
「何を言っているのかわからない」を実感しました。
どこから焦りを感じたのだろう。これまで関心を持っていなかった分野のはずなのに。