[devel] [sisyphus] bind-utils и русские домены
Victor Forsiuk
force на altlinux.org
Ср Фев 23 14:04:24 UTC 2011
2011/2/18 Sergey Alembekov <rt на altlinux.ru>
> 17.02.2011 17:00, Victor Forsiuk пишет:
>
>>
>>
>> 2011/2/17 Victor Forsiuk <force на altlinux.org <mailto:force на altlinux.org>>
>>
>>
>>
>>
>> 2011/1/28 Alexei V. Mezin <alexei-mezin на rambler.ru
>> <mailto:alexei-mezin на rambler.ru>>
>>
>>
>>
>> А bind-utils у нас будут уметь русские домены? Или уже умеют, да
>> я не умею их готовить?
>>
>>
>> bind-utils у нас не умеет IDN домены, поскольку собран без libidn. С
>> появлением TLD .рф (и IDN-регистраций в украинских 2LD) это уже не
>> просто недостаток наших дистрибутивов, а полноценный жирный блокер.
>>
>> Надо паковать современный bind.
>>
>>
>> Добровольцы есть? ;)
>>
> Паковать пока не возьмусь, а тестировать готов - есть пара доменов в зоне
> .РФ
>
Боюсь, что с bind у нас тупиковая ситуация. Я могу, конечно, ошибаться. Но
давайте перечислим факты. Дима Левин обладает эксклюзивным ACL на bind. Его
сборка bind во многом опирается на Openwall'овскую (к которой Дима также
причастен). В Owl сейчас bind версии 9.3.5. И учитывая сложность и объем
кода bind даже перенос на новую версию старых патчей должен быть
нетривиальным, не говоря уже об аудите нового кода. Могу ошибаться, но я
сомневаюсь в том, чтобы Левин решился на сборку радикально новой версии
"вслепую", с отказом от старых патчей Owl и ориентируясь в подходе к
безопасности на Федору, а не на Owl. Посмотрев в багзилу и рассылки я
заметил, что Дима не особенно активно участвовал в обсуждениях и баг на
обновление bind висит уже не первый год. Это как бы подталкивает к мысли,
что обновление по высоким стандартам безопасности требует слишком больших
ресурсов, поэтому откладывается как-нибудь на потом... :(
С другой стороны, в реалиях современного DNS наш bind безнадежно устарел. И
если плохая масштабируемость это относительно терпимый недостаток, то DNSSEC
и IDN-домены - это то, что просто необходимо хорошо поддерживать.
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/devel/attachments/20110223/10a91a49/attachment.html>
Подробная информация о списке рассылки Devel