<br><br><div class="gmail_quote">2011/2/18 Sergey Alembekov <span dir="ltr">&lt;<a href="mailto:rt@altlinux.ru" target="_blank">rt@altlinux.ru</a>&gt;</span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

17.02.2011 17:00, Victor Forsiuk пишет:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<br>
<br>
2011/2/17 Victor Forsiuk &lt;<a href="mailto:force@altlinux.org" target="_blank">force@altlinux.org</a> &lt;mailto:<a href="mailto:force@altlinux.org" target="_blank">force@altlinux.org</a>&gt;&gt;<div><br>
<br>
<br>
<br>
    2011/1/28 Alexei V. Mezin &lt;<a href="mailto:alexei-mezin@rambler.ru" target="_blank">alexei-mezin@rambler.ru</a><br></div>
    &lt;mailto:<a href="mailto:alexei-mezin@rambler.ru" target="_blank">alexei-mezin@rambler.ru</a>&gt;&gt;<div><br>
<br>
<br>
        А bind-utils у нас будут уметь русские домены? Или уже умеют, да<br>
        я не умею их готовить?<br>
<br>
<br>
    bind-utils у нас не умеет IDN домены, поскольку собран без libidn. С<br>
    появлением TLD .рф (и IDN-регистраций в украинских 2LD) это уже не<br>
    просто недостаток наших дистрибутивов, а полноценный жирный блокер.<br>
<br>
    Надо паковать современный bind.<br>
<br>
<br>
Добровольцы есть?  ;)<br>
</div></blockquote>
Паковать пока не возьмусь, а тестировать готов - есть пара доменов в зоне .РФ<br></blockquote><br></div>Боюсь, что с bind у нас тупиковая ситуация. Я могу, конечно, ошибаться. Но давайте перечислим факты. Дима Левин обладает эксклюзивным ACL на bind. Его сборка bind во многом опирается на Openwall&#39;овскую (к которой Дима также причастен). В Owl сейчас bind версии 9.3.5. И учитывая сложность и объем кода bind даже перенос на новую версию старых патчей должен быть нетривиальным, не говоря уже об аудите нового кода. Могу ошибаться, но я сомневаюсь в том, чтобы Левин решился на сборку радикально новой версии &quot;вслепую&quot;, с отказом от старых патчей Owl и ориентируясь в подходе к безопасности на Федору, а не на Owl. Посмотрев в багзилу и рассылки я заметил, что Дима не особенно активно участвовал в обсуждениях и баг на обновление bind висит уже не первый год. Это как бы подталкивает к мысли, что обновление по высоким стандартам безопасности требует слишком больших ресурсов, поэтому откладывается как-нибудь на потом...  :(<br>
<br>С другой стороны, в реалиях современного DNS наш bind безнадежно устарел. И если плохая масштабируемость это относительно терпимый недостаток, то DNSSEC и IDN-домены - это то, что просто необходимо хорошо поддерживать.<br>
<br><br>