Follow

Voilà, du coup on peut faire

curl -I $(dig +short fr.steelcase.com. CNAME)

le DNS est cassé,

(voir mastodon.gougere.fr/@bortzmeye )

@jpmens J'aimerai bien, mais en voyant des horreurs indicibles telle que celle-ci, difficile 😐

@Shaft La pirouette qui a été faite pour que ça marche quand même me tr...e le c.l

@cgx Oui, remplir le formulaire du BE pour ajouter un enregistrement, mettre n'importe quoi et rire fourbement ^^

Je viens de tester chez moi, en ajoutant une horreur comme ça dans une zone signée.

L'outil de vérification de zone de NSD ne bronche pas. ldns-signzone ne bronche pas, ldns-verify-zone ne bronche pas non plus. 🤔

@Shaft @cgx Pourquoi broncheraient-ils ? C'est un nom de domaine légal. (Note qu'il est en partie gauche d'un CNAME, pas 'un A.)

@bortzmeyer @Shaft Pourtant, je connais pas les règles, mais un slash (/) dans le nom, c'est quand même incroyable

Il est censé être converti en punycode ?

@cgx @Shaft Non, c'est parfaitement légal (« le DNS ne permet que les lettres et les chiffres » est une légende)

@bortzmeyer @Shaft J'étais au courant, surtout concernatn les accents, les alphabets étrangers, etc... mais le slash, je pensais que c'était une exception ^^

@cgx @bortzmeyer @Shaft Dans le DNS il y a 2 choses: des "domain name" et des "hostname", ces derniers étant un sous ensemble. Par défaut, tout est un "domain name" (attention c'est trompeur, ce n'est PAS la même chose pour ce terme dans la partie enregistrement), et c'est donc n'importe quel octet, donc n'importe quel caractère (mais l'encodage n'est pas précisé). Certains enregistrements par contre forcent un hostname en owner (à gauche) ou en rdata (à droite). hostname=LDH et punycode

@bortzmeyer @cgx Pas tant une question de respect de la norme qu'une question de sécurité. Un outil de vérification de zone pourrait dire : "attention, c'est potentiellement dangereux"

@Shaft @bortzmeyer @cgx En quoi c'est dangereux? Ca ne marche pas en fait, c'est tout (le navigateur va dire qu'il ne peut résoudre le nom d'origine et donc ne peut pas se connecter).

@Shaft @bortzmeyer @cgx S'il faut un outil c'est au moment de l'entrée des enregistrements. Mais `CNAME` est particulièrement compliqué puisque en théorie il ne doit pas forcer spécifiquement des "hostname". Il faudrait un outil de test de la cohérence d'une zone (au moment de la saisie), qui détecte, par exemple, que `www` est un CNAME vers quelque chose et applique alors une *heuristique* que ce quelque chose doit être un hôte aussi pour un futur traffic HTTP et pas juste un domaine.

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est un serveur Mastodon francophone, géré par La Quadrature du Net.