localhost di zona DNS

ISP kami juga menyelenggarakan DNS eksternal kami. Secara default mereka memasukkan entri untuk localhost.

Misalnya: localhost.example.com. 86400 DALAM A 127.0.0.1

Ketika saya meminta mereka untuk menghapusnya, mereka memberi saya waktu yang sulit dan mengatakan bahwa itulah cara Bind bekerja.

Saya sudah mencoba melakukan penelitian tentang mengapa saya ingin memasukkan itu tetapi saya tidak bisa menemukan banyak. Saya memang menemukan setidaknya satu tempat yang mengira itu kemungkinan serangan vektor XSS. Tampaknya cukup umum sehingga saya melakukan pencarian di 20 domain situs web teratas dari alexa dan sebagian besar tidak memiliki entri seperti itu tetapi beberapa melakukannya. Beberapa orang lain memiliki entri tetapi alih-alih menunjuk ke 127.0.0.1 mereka menunjuk ke alamat IP lain yang mampu rute dunia.

Jadi, mengapa saya ingin memiliki locahost di zona untuk domain saya? Apakah ada masalah dengan tidak memilikinya? Apakah ada praktik terbaik mengenai hal ini? Apakah itu memang hal Bind default yang saya tidak sadari?

Terima kasih

localhost.example.comkadang-kadang disertakan pada server DNS internal untuk mencegah permintaan "localhost" bocor ke internet (untuk kasus di mana John Smith mengetik http://localhost/di browser-nya & untuk alasan apa pun resolvernya tidak terlihat di file host, ditambahkan jalur pencariannya ( example.com) & mulai menanyakan server nama apa yang dipecahkan).

Anda tidak harus memiliki entri localhost (dan jika ISP Anda berpikir itu "cara BIND bekerja" mereka salah arah atau idiot: BIND melayani apa yang ada di file zona, dan jika mereka menghapus localhostbaris itu akan berhenti melayani itu merekam). Sebagai contoh gratis, localhost.google.comtidak menyelesaikan, dan saya bertaruh NS untuk domain itu menjalankan BIND.

Vektor XSS adalah sesuatu yang tidak pernah saya pikirkan, tetapi ini adalah sesuatu yang memprihatinkan: memiliki localhostentri dalam DNS publik Anda berarti setiap mesin yang diretas dapat "di domain Anda" (dengan menjalankan server web pada 127.0.0.1) dan berpotensi melakukan segala macam hal buruk. Mungkin alasan yang cukup bagus untuk menyingkirkan entri.

Dengan asumsi bahwa resolusi nama internal Anda menangani resolusi nama dengan benar, setiap permintaan DNS untuk localhost tidak boleh pergi ke penyedia DNS eksternal Anda, dan karenanya ini seharusnya tidak menjadi masalah sama sekali.

Salah satu alasan mengapa seseorang melakukan hal ini, yang dapat saya pikirkan dari atas kepala saya, adalah jika seseorang pernah menggunakan alat pembuat web yang mengacaukan referensi absolut ke http: // localhost , tetapi itu mengasumsikan bahwa Anda ISP juga hosting di kotak DNS mereka dan merupakan kesempatan besar.

Namun, RFC 1537 tidak menentukan:

Telah ada diskusi yang luas tentang apakah akan menambahkan domain lokal atau tidak. Kesimpulannya adalah "localhost." akan menjadi solusi terbaik; alasan yang diberikan adalah:

• "localhost" sendiri digunakan dan diharapkan dapat bekerja pada beberapa sistem.

• menerjemahkan 127.0.0.1 ke dalam "localhost.my_domain" dapat menyebabkan beberapa perangkat lunak terhubung dengan dirinya sendiri menggunakan antarmuka loopback ketika tidak mau.

Perhatikan bahwa semua domain yang mengandung host harus memiliki catatan "localhost".

Jadi, sepertinya ISP Anda benar untuk memasukkan localhost, tetapi salah menggunakan nama yang sepenuhnya memenuhi syarat.

Saya tidak yakin apa gunanya ... Secara default, alamat eksternal akan ditunggangi oleh file hosts, yang hampir selalu memetakan localhost ke 127.0.0.1.

File zona BIND default tidak termasuk zona host lokal. Tidak pernah benar-benar memikirkannya.