localhost in una zona DNS

Il nostro ISP ospita anche il nostro DNS esterno. Per impostazione predefinita, includono una voce per localhost.

Ad esempio: localhost.example.com. 86400 IN A 127.0.0.1

Quando ho chiesto loro di rimuoverlo mi fanno passare un brutto momento e dicono che funziona proprio come Bind.

Ho provato a fare qualche ricerca sul perché potrei volerlo includere ma non sono riuscito a trovare molto. Ho trovato almeno un posto che pensava fosse un possibile vettore di attacco XSS. Sembra essere abbastanza comune, quindi ho fatto ricerche sui primi 20 domini di siti Web da Alexa e la maggior parte non ha una voce del genere, ma un paio lo fanno. Alcuni altri hanno una voce ma invece di puntare a 127.0.0.1 puntano a un altro un indirizzo IP che può essere indirizzato al mondo.

Quindi, comunque, perché dovrei voler avere locahost nella zona per il mio dominio? Hanno dei problemi nel non averlo? C'è qualche tipo di migliore pratica in merito? È davvero una cosa predefinita di Bind di cui non sono a conoscenza?

Grazie

localhost.example.comè talvolta incluso nei server DNS interni per impedire la fuoriuscita di richieste "localhost" su Internet (nel caso in cui John Smith digiti http://localhost/nel suo browser e per qualsiasi motivo il suo resolver non sia presente nel file hosts, accoda il suo percorso di ricerca ( example.com) e inizia a chiedere ai server dei nomi che cosa si risolve).

Non devi avere una voce localhost (e se il tuo ISP pensa che sia "il modo in cui funziona BIND" sono sbagliati o idioti: BIND serve ciò che è nel file di zona, e se rimuovono la localhostlinea smetterà di servire quel disco). Come esempio gratuito, localhost.google.comnon si risolve e scommetto che NS per quel dominio sta eseguendo BIND.

Il vettore XSS è qualcosa a cui non avevo mai pensato, ma è preoccupante: avere una localhostvoce nel tuo DNS pubblico significa che qualsiasi macchina compromessa potrebbe essere "nel tuo dominio" (eseguendo un server web su 127.0.0.1) e potenzialmente farlo ogni sorta di cose brutte. Probabilmente un motivo abbastanza buono per sbarazzarsi della voce.

Supponendo che la risoluzione dei nomi interna gestisca correttamente la risoluzione dei nomi, qualsiasi richiesta DNS per localhost non dovrebbe mai essere inviata al proprio provider DNS esterno, e quindi questo non dovrebbe essere affatto un problema.

Uno dei motivi per cui qualcuno farebbe questo, a cui riesco a pensare in cima alla mia testa, è se qualcuno una volta usasse uno strumento di authoring web che rovinava con un carico di riferimenti assoluti a http: // localhost , ma quello presume che il tuo Anche l'ISP ospitava le loro caselle DNS ed è una possibilità.

Tuttavia, RFC 1537 fa specificare:

Vi è stata un'ampia discussione sull'opportunità o meno di aggiungere il dominio locale ad esso. La conclusione fu che "localhost". sarebbe la soluzione migliore; i motivi indicati sono stati:

• Lo stesso "localhost" viene utilizzato e dovrebbe funzionare su alcuni sistemi.

• la traduzione di 127.0.0.1 in "localhost.my_domain" può causare la connessione di alcuni software a se stesso mediante l'interfaccia di loopback quando non lo desidera.

Si noti che tutti i domini che contengono host devono contenere un record "localhost".

Quindi, a rigor di termini, sembra che l'ISP sia corretto per includere localhost, ma non è corretto utilizzare il nome completo.

Non sono sicuro di quale sia il punto ... Per impostazione predefinita, l'indirizzo esterno sarebbe sovrascritto dal file hosts, che quasi sempre mappa localhost su 127.0.0.1.

Tuttavia, un file di zona BIND predefinito include una zona localhost. Non ci ho mai pensato.