Comments 28
Мне больше всех интересует Яндекс DNS (теперь уже Яндекс Коннект), хоть и желтый треугольник, но че они там сидят бездействуют, не переводят его в зеленый значок.
Техподдержка молчит, при обращении пишут что ответят через 3 дня. Мне кажется стоит поменять их… Может посоветует кто подобный, бесплатный и качественный, в идеале Российский?

Жёлтый означает же, 1 февраля ничего не отвалится, но всё равно dns-сервер староват. Что тогда в вашем обращении в поддержку такого, что реагировать на него нужно быстрее обычного регламента?

Вот вы когда проверяли, не пробовали перевести что там написано:

This domain is going to work after the 2019 DNS flag day BUT it does not support the latest DNS standards. As a consequence this domain cannot support the latest security features and might be an easier target for network attackers than necessary, and might face other issues later on. We recommend your domain administrator to fix issues listed in the following

Там нет указаний на конкретные DNS-стандарты, которые не поддерживаются DNS-сервером, поэтому уровень угрозы неизвестен. Всё ещё не вижу повода быстро-быстро реагировать.

Но прочитав описание двух обнаруженных ошибок мы приходим к тому, что нарушение dns-серверов Яндекса в том, что они считают запрос корректным и возвращают SOA-запись даже если передать заведомо неверную версию протокола или опции edns. Чтобы от этого появился вред, нужно чтобы в мире действительно появились edns1 и edns1opt, и ответ SOA-записью интерпретировался бы запрашивающим как-то крайне плохо.


И мне всё ещё не видится это чем-то из разряда "ааа, срочно фиксить". Я снова упустил какой-то нюанс?

Мне совсем не нравится такой ход мысли «Пусть будет так пока не наступил следующий DNS Flag DAY»… Это проще говоря, пока не ужалит — мы не будем ничего делать.
Разве сложно это исправить, когда все это деают и забыть об этом уже до следующих версий edns2 ???

Напоминаю, этот тред начался с вашего сообщения, которое содержало следующие слова:


Техподдержка молчит, при обращении пишут что ответят через 3 дня. Мне кажется стоит поменять их…

Собственно, я вроде бы вам доказал, что эта "уязвимость" не из тех, которая не может подождать эти 3 дня. Она и 10 прождёт, если нужно.


Меняйте DNS сколько хотите, конечно. Но мотивация в этот раз была ошибочна.

Я хотел увидеть ситуацию, от такой компании как Яндекс, когда зашел на этот сайт для теста и увидеть зеленый знак. Что здесь не понятно? Поэтому и задал вопрос о других сервисах.
Этот подход называется «сервис для клиентов», который у Яндекса — «ничего страшного, потом поправим, время есть».
который у Яндекса — «ничего страшного, потом поправим, время есть».

Итогом работы над безопасностью должна быть безопасность, а не зелёный знак. Hearthbleed думаю был залатан с максимально возможной быстротой. А просто обновлять dns-сервер ради обновления, если текущая версия поддерживает всё что нужно — это не заниматься сейчас какой-то более важной штукой. Всему своё время, причину спешить с обнаруженными "уязвимостями" я так и не увидел.

За зарплатой так же бегайте, че спешить получать, и потом можно будет получить. «Она и 10 прождёт, если нужно.»

Ну вообще-то да, если зарплата задерживается на пару дней, то это не повод паниковать, а декабрьская и апрельская у нас достаточно часто бывает и на неделю задержится.

Попал видимо на команду разработчиков Яндекса, полностью заминусовали ) А за что? За то что наши взгляды в работе просто расходятся?

Крепкого здоровья вам!
UFO landed and left these words here
Аналогия с деньгами прямая. Вам приятно когда зарплату задерживают хоть на один день? Подождать конечно же можно, но сам факт — не приятно. Вот и тут так же

Ну так аналогия-то у вас фиговая.


У меня другая аналогия. Стало известно, что с июня этого года у всех банкнот сменится дизайн, но при этом банкноты текущего образца продолжат свое обращение не меньше года, а если их когда-нибудь решат изъять, то их просто запретят выдавать, но принимать будут все обязаны как минимум до конца срока жизни новых банкнот. Но вам все равно: раз есть новые, работодатель должен вам выдавать в кассе только новые, иначе тьфу на этого работодателя, лучше найти нового, который только новыми будет выплачивать.


Это тоже не до конца правильная аналогия, не придумал как в ней обыграть то, что какие-то DNS-серверы действительно перестанут работать, но остальное отражает вроде неплохо.

я бы посоветовал Cloudflare, но, к сожалению, он не российский. Зато имеет крайне удобный API и ну очень доходчивую документацию.

К сожалению? Это плюс наоборот же, CDN стоит в Москве, что даёт хороший PING, + поддержка DOH/DOT

При желтом речь идет о частичной несовместимостью с будущими фичами. Т.е. 1 февраля все будет ок. Но вот в следующий DNS Flag DAY X — может уже сломаться… если ничего не делать.
Вся шумиха на эту тему напомнила мне 31 декабря 1999г. В 00-01 1 января 00г. рванул к своему pentium 166mmx и… разочарованно пошел отмечать дальше)
Как ни странно, больше проблем вызвала дата 29.02.2000. Не все ПО учитывало, что 2000г — исключение из исключения
Вот странное дело — у меня bind 9.7.0, а тестовый инструмент показывает все домены зеленым.
Версия достаточно древняя, и edns по-умолчанию включен — во всяком случае, так указано в документации.
Т.е. повода для беспокойства нет, или я что-то упускаю?
Дык это же известная истина — пока гром не грянет, никто ничего делать не будет. Некоторым сервисам нужны такие радикальные встряски.

По поводу «грома» — самый яркий пример — IPv4. Уже который год на каждом углу вопли «ой, уже всё», а воз и ныне там по болшей части.
Only those users with full accounts are able to leave comments. Log in, please.