<br><br><div class="gmail_quote">2011/2/18 Sergey Alembekov <span dir="ltr"><<a href="mailto:rt@altlinux.ru" target="_blank">rt@altlinux.ru</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
17.02.2011 17:00, Victor Forsiuk пишет:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
<br>
2011/2/17 Victor Forsiuk <<a href="mailto:force@altlinux.org" target="_blank">force@altlinux.org</a> <mailto:<a href="mailto:force@altlinux.org" target="_blank">force@altlinux.org</a>>><div><br>
<br>
<br>
<br>
2011/1/28 Alexei V. Mezin <<a href="mailto:alexei-mezin@rambler.ru" target="_blank">alexei-mezin@rambler.ru</a><br></div>
<mailto:<a href="mailto:alexei-mezin@rambler.ru" target="_blank">alexei-mezin@rambler.ru</a>>><div><br>
<br>
<br>
А bind-utils у нас будут уметь русские домены? Или уже умеют, да<br>
я не умею их готовить?<br>
<br>
<br>
bind-utils у нас не умеет IDN домены, поскольку собран без libidn. С<br>
появлением TLD .рф (и IDN-регистраций в украинских 2LD) это уже не<br>
просто недостаток наших дистрибутивов, а полноценный жирный блокер.<br>
<br>
Надо паковать современный bind.<br>
<br>
<br>
Добровольцы есть? ;)<br>
</div></blockquote>
Паковать пока не возьмусь, а тестировать готов - есть пара доменов в зоне .РФ<br></blockquote><br></div>Боюсь, что с bind у нас тупиковая ситуация. Я могу, конечно, ошибаться. Но давайте перечислим факты. Дима Левин обладает эксклюзивным ACL на bind. Его сборка bind во многом опирается на Openwall'овскую (к которой Дима также причастен). В Owl сейчас bind версии 9.3.5. И учитывая сложность и объем кода bind даже перенос на новую версию старых патчей должен быть нетривиальным, не говоря уже об аудите нового кода. Могу ошибаться, но я сомневаюсь в том, чтобы Левин решился на сборку радикально новой версии "вслепую", с отказом от старых патчей Owl и ориентируясь в подходе к безопасности на Федору, а не на Owl. Посмотрев в багзилу и рассылки я заметил, что Дима не особенно активно участвовал в обсуждениях и баг на обновление bind висит уже не первый год. Это как бы подталкивает к мысли, что обновление по высоким стандартам безопасности требует слишком больших ресурсов, поэтому откладывается как-нибудь на потом... :(<br>
<br>С другой стороны, в реалиях современного DNS наш bind безнадежно устарел. И если плохая масштабируемость это относительно терпимый недостаток, то DNSSEC и IDN-домены - это то, что просто необходимо хорошо поддерживать.<br>
<br><br>