Чи є DNS-записом з незахищеними кодами погана практика?

Я попросив свого хостера додати три субдомена, які вказують на IP запису A. Здається, він просто додав запит DNS-символу з підстановкою, оскільки будь-який випадковий піддомен вирішується до моєї IP-адреси зараз. Для мене це нормально з технічної точки зору, оскільки немає інших субдоменів, які б вказували більше ніде. Тоді знову мені не подобається, що він не робить того, про що я просив. І тому мені цікаво, чи є інші причини сказати йому змінити це. Чи є?

Єдиний мінус, який я виявив - це те, що хтось міг посилатися на мій сайт за допомогою http://i.dont.like.your.website.mywebsite.tld.

Якщо ви коли-небудь помістите комп'ютер у цей домен, ви отримаєте химерні збої DNS, де, намагаючись завітати на якийсь випадковий сайт в Інтернеті, ви замість цього приїдете до свого.

Поміркуйте: у вас є домен example.com. Ви налаштовуєте свою робочу станцію і називаєте її. ... скажімо , давайте, yukon.example.com. Тепер ви помітите, що в /etc/resolv.confньому є рядок:

search example.com

Це зручно, оскільки це означає, що ви можете робити wwwпошукові імена хостів, наприклад, які потім www.example.comавтоматично шукатимуть для вас. Але у нього є темна сторона: якщо ви відвідаєте, скажімо, Google, тоді він здійснить пошук www.google.com.example.com, і якщо у вас є DNS-код, що вирішує, буде вирішено для вашого сайту, і замість того, щоб дістатися до Google, ви перейдете на свій власний сайт.

Це в рівній мірі стосується сервера, на якому ви працюєте на своєму веб-сайті! Якщо коли-небудь доводиться викликати зовнішні служби, то пошуки імені хоста можуть вийти з ладу таким же чином. Так, api.twitter.comнаприклад, раптом стає api.twitter.com.example.com, маршрути прямо на ваш сайт, і, звичайно, не вдається.

Ось чому я ніколи не використовую підстановку DNS.

Чи є DNS-записом з незахищеними кодами погана практика?

Особисто мені це не подобається. Особливо, коли в цій галузі є машини. Друкарські помилки не перевірені, помилки менш очевидні ... але в цьому немає нічого принципово поганого.

Єдиний мінус, який я виявив - це те, що хтось може перейти на мій сайт за допомогою http: //i.dont.like.your.website.mywebsite.tld .

Попросіть ваш сервер http переспрямувати всі подібні запити на правильні, канонічні адреси чи не відповідати взагалі. Для nginx це було б щось на зразок :

server {
    listen 80;
    server_name *.mywebsite.tld;
    return 301 $scheme://mywebsite.tld$request_uri;
    }

а потім черговий

server {
    listen  80;
    server_name mywebsite.tld;
    [...]
    }

Це все питання думки. Для мене це не погана практика.

Я створюю додаток для багатьох орендарів, який використовує базу даних на орендаря. Потім він вибирає базу даних, яка буде використовуватись на основі піддомену.

Наприклад, milkman.example.comбуде використовуватися tenant_milkmanбаза даних.

Як це я відділив таблиці для кожного орендаря, як, tenant_milkman.users, tenant_fisherman.users, tenant_bobs_garage.users, на мій погляд , є величезним набагато легше підтримувати для цього конкретного додатка, замість того , щоб всі користувачі з усіх компаній в тій же таблиці.

[edit - Michael Hampton has a good point]

Якщо говорити, якщо у вас немає конкретної причини прийняти будь-який (змінний) субдомен, як я, тоді ви не повинні їх приймати.

Інша проблема тут - SEO: якщо всі *.example.comпоказують однаковий вміст, на ваш веб-сайт буде погано посилатися, принаймні, від Google ( https://support.google.com/webmasters/answer/66359 ).

Це дійсно погана ідея, припустимо, якщо ви хочете розмістити один піддомен a.company.com на одному веб-сервері, а b.company.com на іншому веб-сервері, може бути інший провайдер. Що ти зробиш ?. Отже, підстановка DNS - це не варіант, він повинен бути точним, створити запис для кожного піддомену та вказувати на відповідний IP. Є ймовірність перенести веб-сервер з одного провайдера на інший провайдер, в цьому випадку що ви будете робити?

Я знаю, що це давнє питання, проте я хочу поділитися реальним прикладом того, як використання доменних підказок може спричинити проблеми. Однак я хочу змінити доменне ім'я, а також приховати повний запис SPF, щоб зберегти збентеження.

Я допомагав тому, у кого виникли проблеми з DMARC, в рамках перевірок я завжди шукаю запис DMARC за допомогою DIG

;; ANSWER SECTION:
_dmarc.somedomain.com. 21599 IN      CNAME   somedomain.com.
somedomain.com.      21599   IN      TXT     "v=spf1 <rest of spf record> -all"

Я також отримав такий же результат, коли шукав їх записи DKIM.

Отже, електронні листи, надіслані з цього домену, отримають збій у DKIM, оскільки модуль DKIM спробує проаналізувати запис SPF на ключ DKIM та вийде з ладу, а також отримає Permerror для DMARC з тієї ж причини.

Підключення доменів може здатися гарною ідеєю, але налаштовано неправильно, вони можуть спричинити всілякі проблеми.

Чи є DNS-записом з незахищеними кодами погана практика?

Ні, і всупереч іншим, я вважаю, що це хороша практика.

Більшість користувачів Інтернету в якийсь момент жируть пальцем ім'я DNS. Вони наберуть ww.mycompany.comабо wwe.mycompany.com Що б ви скоріше сталися "на жаль, ми не змогли знайти цей сайт", або щоб вони відкрили вашу основну домашню сторінку? Частіше, ніж не потрібно, щоб вони перетягували вашу основну домашню сторінку. Що це багато людей.

Навіть якби хтось поклав на нього посилання, i.dont.like.your.website.whatever.comвін все одно підніме вашу домашню сторінку, що саме ви хочете. Зрештою, вони не можуть змусити цей i.dont....сайт перейти на свій сервер, ви все одно керуєте маршрутизацією DNS, щоб він перейшов до вашого.

Я думаю, що найкраща причина, щоб не було запису DNS в першу чергу, - це уникати передачі IP-адреси вашого сервера потенційному зловмиснику та зменшення експозиції до DDOS-атак. Також рекомендується налаштування Cloudflare: https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/