## page was renamed from DNS/用語/キャッシュサーバ実装/ポート警告 ## page was renamed from DNS/キャッシュサーバ/ポート警告 ## page was renamed from DNS/キャッシュサーバ/警告ページ == DNS/キャッシュサーバ/警告ページ == DNS query source port 固定のキャッシュサーバ(リゾルバー)利用者への警告 tss さんのblog: http://www.e-ontap.com/blog/20111102.html [[/危ないドメイン]] 警告が表示されたはずのクライアントIPアドレスの逆引き名の属するドメインの一部 == 警告画面 == http://alert.qmail.jp/ に見本があります。 [[/yatz82案]] == あなたのサイトでも警告をだしませんか == twitter で qmailjp をfollowするか、検索してみてください。 qmail.jp でしていること * サイトアクセス用のAレコードを警告判定DNSサーバへのCNAMEに変更しています。それだけです。 判定サーバでは脆弱性のあるキャッシュからのqueryには警告サーバのAレコードを返します。 これにより、警告文が表示されるようになります。 問題ないキャッシュからのqueryには本来のAレコードを返します。 副作用はないのか。 * 警告がでたクライアントは警告文にある作業をしないと、本来のサイトがみられなくなります。 qmail.jp や e-ontap はそこまで信用してできない。 ごもっとも。では、ページの一部に警告を出していただけませんか。(徳丸さんの案) httpsに対応しているか。 * 秘密鍵を預けていただけるなら。:-) 警告をやめたくなったら。 * CNAME設定を止めて、元に戻せばすぐに元どおりの動作をするようになります。 警告ページのカスタマイズなども検討できます。alert.qmail.jp を見て、連絡してください。 == 徳丸さんの提案 == バナー領域なら提供できるので、それでどうか。 http://www.tokumaru.org/d/ 上部のバナーに注目 効果のある警告ができるかは今後にかかっている。バナーについて勉強しよう。 == 試行中 == 問題のないキャッシュを使っている場合: サイトが決めた内容が表示される。 危険なDNSサーバを使っている場合: {{{ 警告: 脆弱性のあるDNSサーバを使っておられます。 対応はこちら(URL) }}} これもサイトにリダイレクトすることで内容は自由に設定できる。 == バナー貸与方式 == バナー部分の表示をすべて任せていただけるのであれば、 警告サイトページをiframeなどで取り込むだけですみます。 == 判別機能だけの提供 == 警告判別DNSに登録するIPアドレスを二つ用意できるサイトであれば、 判別機能だけ(つまりアドレスデータを公開することなく)提供できます。 ただし、こちらのDNSサーバの負担がどれほどになるか予想できません。 負担しきれなくなる可能性もありますので、アクセスの多いサイトの方はご相談ください。 -- ToshinoriMaeno <>