---- NSレコードへの毒盛が可能な現状では検討の優先度は低い。 -- ToshinoriMaeno <> == DNS/毒盛/毒glue == [[DNS/用語/グルー]] JPNICによるKaminsky型攻撃の説明をみよ。   https://www.nic.ad.jp/ja/newsletter/No40/0800.html  [[/JPNIC]] [[DNS/毒盛/Kaminsky手法/解説と対策(民田)]] [[DNS/用語/glue/毒盛]] == グルーではない == NSレコードについてくるAレコードがすべてglueだということではない。 そして、より危険なのはこちらの方だ。   == Additional Section A == だがglueではないAレコードも毒盛対象として狙われる。   そしてその防御は十分とは言えない。 [[DNS/毒盛/Kaminsky手法/解説と対策(民田)]] == 種類 == キャッシュにおけるNSレコードの状態に対応して、Additional A の状態を検討する。  さらに、Additional A が存在するかどうかにより、二つに分かれる。 そして、これらが上書きされるかどうかを検討する。 さらにAレコードが権威あるサーバからの権威ある返答(Answer Section)である場合も含めて検討すること。 すくなくとも以下の五つのケースについて、毒盛の可能性を検討する必要がある。 1. なし 2. 委譲情報のglue 3. 権威情報の Additional 4. NS 返答の Additional 5. NS 返答と A 返答(Answer) -- ToshinoriMaeno <> == なぜ glue なのか == Kaminskyの説明についての疑問は多数あるが、一番はglueに毒入れしても、  それが使われるのだろうかというものだ。 もしwww.foo.com A が google.com NS の glue でもあったとしたら、 (名前のすり合わせはするとして)  google.com を誘導できるかもしれない。(実装依存) だが、このあたりまで考えると、脆弱性のある実装をいろいろ想定して警告することよりも、  脆弱性をとりのぞいた実装を提案する方がよさそうだ。 -- ToshinoriMaeno <>