1. DNS/キャッシュサーバ/警告ページ
DNS query source port 固定のキャッシュサーバ(リゾルバー)利用者への警告
tss さんのblog: http://www.e-ontap.com/blog/20111102.html
/危ないドメイン 警告が表示されたはずのクライアントIPアドレスの逆引き名の属するドメインの一部
2. 警告画面
http://alert.qmail.jp/ に見本があります。
3. あなたのサイトでも警告をだしませんか
twitter で qmailjp をfollowするか、検索してみてください。
qmail.jp でしていること
- サイトアクセス用のAレコードを警告判定DNSサーバへのCNAMEに変更しています。それだけです。
- 判定サーバでは脆弱性のあるキャッシュからのqueryには警告サーバのAレコードを返します。
- これにより、警告文が表示されるようになります。
- 判定サーバでは脆弱性のあるキャッシュからのqueryには警告サーバのAレコードを返します。
副作用はないのか。
- 警告がでたクライアントは警告文にある作業をしないと、本来のサイトがみられなくなります。
qmail.jp や e-ontap はそこまで信用してできない。
- ごもっとも。では、ページの一部に警告を出していただけませんか。(徳丸さんの案)
httpsに対応しているか。
- 秘密鍵を預けていただけるなら。:-)
警告をやめたくなったら。
- CNAME設定を止めて、元に戻せばすぐに元どおりの動作をするようになります。
警告ページのカスタマイズなども検討できます。alert.qmail.jp を見て、連絡してください。
4. 徳丸さんの提案
バナー領域なら提供できるので、それでどうか。 http://www.tokumaru.org/d/ 上部のバナーに注目
- 効果のある警告ができるかは今後にかかっている。バナーについて勉強しよう。
5. 試行中
問題のないキャッシュを使っている場合:
- サイトが決めた内容が表示される。
危険なDNSサーバを使っている場合:
警告: 脆弱性のあるDNSサーバを使っておられます。 対応はこちら(URL)
これもサイトにリダイレクトすることで内容は自由に設定できる。
6. バナー貸与方式
バナー部分の表示をすべて任せていただけるのであれば、 警告サイトページをiframeなどで取り込むだけですみます。
7. 判別機能だけの提供
警告判別DNSに登録するIPアドレスを二つ用意できるサイトであれば、 判別機能だけ(つまりアドレスデータを公開することなく)提供できます。
ただし、こちらのDNSサーバの負担がどれほどになるか予想できません。 負担しきれなくなる可能性もありますので、アクセスの多いサイトの方はご相談ください。
-- ToshinoriMaeno 2011-11-07 23:21:19