Re: [Hackmeeting] DNSEXT by gugol

Delete this message

Reply to this message
Autor: Giulivo Navigante
Data:  
Para: hackmeeting
Assunto: Re: [Hackmeeting] DNSEXT by gugol
On Sun, 31 Jan 2010, Raistlin wrote:

> Giulivo Navigante wrote:
>
>> il fatto che un DNS possa ritornare al client dei contenuti diversi
>> dipendentemente dall'indirizzo ip del client stesso, e non del
>> "recursive resolver" come gia' accadeva, gli permette "filtrare" o
>> "modificare" le risposte in modo preciso sulla base di chi e' stato a
>> fare la richiesta
>
> Mi fai un esempio di scenario in cui questo facilita la censura ?


le autorita' cinesi potrebbero impedire l'accesso al sito della bbc
semplicemente facendo richiesta ai responsabili del
dominio bbc.co.uk di non indirizzare i client verso il loro web server
qualora la richiesta fosse proveniente da una sottorete in uso da un isp
cinese

>> fino ad oggi doveva essere il provider a filtrare sul suo dns i domini
>> ai quali non voleva che tu accedessi, invece con questo meccanismo si
>> puo' lavorare direttamente sul server autoritativo
>
> When a Recursive Resolver performs recursion for an incoming query,
> it MAY include an edns-client-ip option in queries to Authoritative
> Namesevers.
>
> Nota il MAY e non il MUST.


fosse stato un MUST, il mondo avrebbe dovuto aggiornare di colpa tutti i
DNS server del pianeta per restare conformi alle specifiche

ad ogni modo, ai fini dell'applicazione del meccanismo per censurare dei
contenuti, si potrebbero rigettare tutte le richieste che NON contengono
il client-ip ... nel document si parla infatti anche dei
problemi che questo meccansimo avrebbe nel caso di pc che sono dietro un
SNAT, ma questa e' un'altra storia
_______________________________________________
Hackmeeting mailing list
Hackmeeting@???
https://www.autistici.org/mailman/listinfo/hackmeeting