## page was renamed from DNS/毒盛/2014/co.jp ## page was renamed from DNS/毒盛2014/co.jp ## page was renamed from DNS/毒盛再考/co.jp <> <> == co.jp の危険性 == 2014 年 2 月に指摘したことです。 -- ToshinoriMaeno <> NS レコードを持たないドメイン名に対しては「偽ゾーンキャッシュ毒盛攻撃」が容易に成立します。 ([[../ゾーンなしドメイン名]] にも書きました。)  co.jp だけではありません。 属性型JPドメイン名がすべて該当すると考えています。  類似の構成はjp 下だけでなく、世界中に多数存在しています。 (fr の下も) [[watchNS/ssi.gouv.fr]] {{{ 攻撃は単純です。Mueller 手法を適用するだけです。 }}} このことに気づかなかったのを我々は反省する必要があります。  DNSSEC推進に利用されることを心配していたのかもしれません。 2014年2月半ばにJPRSに連絡しました。でも、3か月が過ぎようとしているいまでも表だった対応はされていません。  Kaminsky 攻撃対策としてのポートランダム化されていないキャッシュに対する警告(2014-05-15)と  5月中に公表される予定という資料にのりそうなほのめかしがあるだけです。  われわれに見えていないところで対応されていることを願うばかりです。 -- ToshinoriMaeno <> == DNSSEC でも危ない == DNSSECで署名されていない偽 co.jp ゾーンが作られると、 *.co.jp ドメインはすべて毒盛される  DNSSECなしのゾーンは認めないというような方針でもないかぎり、危ない。 これに対処するためか、 co.jp ドメイン名には TXT レコードが設定された。 (2014-03)