(мрачно) Любой протокол должен максимум через 20 лет редизайниться с нуля

[netch80]

Любой протокол должен максимум через 20 лет редизайниться с нуля.
Сегодняшний пример - DNS. Ну что стоило подумать про 64- или 128-битный ID ещё во время первых атак с подменой ID?

Не хочется кассандрить, но это напоминает начало системного кризиса Internet.

Comments

[sha90w.livejournal.com]

ты на доклад Пилософа намекаешь ? ;)

[dbg.livejournal.com]

Ха! Можно подумать, что интернет хоть когда-то за свою историю был не в кризисе. Всё, как всегда, плохо, но мы опять выкрутимся.

Кстати, ты презентацию Камински читал? Он там очень качественно нагнал жути.

[ospf-ripe.livejournal.com]

В аттаке, про которую рассказал Дэн Каминский ключевой момент не подбор ID (про это писали и раньше с оговоркой что атакующему вряд ли повезет), а то что отравленная запись из секции Additional перезаписывает валидную запись из кэша. Что IMHO проблема не протокола, а реализации популярных ДНС серверов.

Если бы этого не происходило, то аттака была бы малореально - записи которые интересно подменять обычно часто спрашиваются и всегда есть в кэше. Нужно было бы дождаться пока кэш протухнет и за несколько секунд пока туда запись не попадет снова его отравить.

[furry.livejournal.com]

Ну что это за security through obscurity? Протокол должен дизайниться с возможностью масштабирования систем защиты.
Кстати, telnet, например, я не знаю зачем редизайнить..Просто думать надо было сразу, а не во время первых атак..