On Wed, Oct 18, 2006 at 04:44:45PM +0200, Boudewijn Visser wrote:
Voor zo ver het de content van de zone betreft, ja. Maar het grondig beperken van het aantal mensen wat uberhaupt met (een deel van) je nameserver proces kan spreken, en daarbij eventuele bugs kan exploiten, of DoS veroorzaken, is wel een re?ele security overweging.
Tsja, ik kan wel wat dingen bedenken die spannender zijn dan een nameserver die zonetransfers toestaat. Apache en het uitvoeren van serverside code bijvoorbeeld :)
Idem voor veel meer (ooit standaard publieke) services zoals dns resolvers, ntp e.a. Hoe jammer ook.
Volgens mij doet men hier veel te dramatisch over. Ik heb bij een tweetal ISP's gewerkt waar dit werd toegestaan zonder dat dat ooit problemen heeft opgeleverd. Ik vind het een hele andere kwestie dan het openzetten van je resolvers voor de hele wereld, waarvan iedereen inmiddels wel weet dat dat onverstandig is. Maarten -- "Voor onze veiligheid moeten we een beetje van onze privacy inleveren." -- Huis-aan-huisfolder "Nederland tegen terrorisme"