summaryrefslogtreecommitdiffstats
path: root/e-post/doman.mdwn
diff options
context:
space:
mode:
Diffstat (limited to 'e-post/doman.mdwn')
-rw-r--r--e-post/doman.mdwn25
1 files changed, 21 insertions, 4 deletions
diff --git a/e-post/doman.mdwn b/e-post/doman.mdwn
index 1eb31c4..c20a76c 100644
--- a/e-post/doman.mdwn
+++ b/e-post/doman.mdwn
@@ -69,6 +69,24 @@ Om man är flera som är medlemmar, kan man få olika adresser från samma domä
Ja, det finns ingenting som hindrar det. Dock kan vi ha max en person som står som ägare per domännamn. Alla ändringar av eventuella alias måste göras av dess ägare.
+Vad menas med att DNS är Internets svagaste länk?
+----------------
+
+Ofta påpekas att DNS brister i datasäkerhet. Detta diskuteras av
+många, och bl. a. rekommenderar Rasmus Fleisher i Nyhetsmagasinet ETC,
+2 jul, en essä av Robert W Gehl, [The internet's weakest
+link](https://thereboot.com/the-internets-weakest-link-dns-and-the-risks-of-consolidation/),
+*The Reboot*, 2021. Han hänvisar till Zookos triangel, vilken innebär
+att man måste kompromissa mellan Internets tre ideal: (a) säkerhet,
+(b) decentralisering och (c) begriplighet. Bara två kan prioriteras,
+men då på bekostnad av det tredje.
+
+DNS är exponerat för stater att blockera trafik och tillåter
+operatörer att spionera på kunderna surfvanor. Gehl varnar dock för
+att åtgärder mot detta riskerar ett centraliserande av DNS till
+informationsjättarna.
+
+
Tekniska frågor (på engelska)
=============================
@@ -257,10 +275,9 @@ Here `example.org` is merely copying Fripost's policy.
Here the policy says that mails `@example.org` should PASS if they're
being accepted by Fripost's policy, that is if the sender host is
`outgoing.fripost.org` and FAIL otherwise (where Fripost's policy would
-return NEUTRAL). Note however that DNS is spoofable, and as
-unfortunately Fripost doesn't use DNSSEC at the moment, an attacker
-could for instance poison the DNS cache and fake the reply for
-`outgoing.fripost.org`'s TXT record.
+return NEUTRAL). Note however that DNS is spoofable, and if the
+`example.org` zone isn't authenticated then an attacker could poison the
+DNS cache resulting in a malicious SPF policy.
example.org IN TXT "v=spf1 a include:outgoing.fripost.org -all"
generated by cgit v1.2.3 (git 2.25.1) at 2024-04-29 10:56:51 +0000