http://www.stackoverflow.com./ não funciona, observe o ponto final.
Bad Request - Invalid Hostname
HTTP Error 400. The request hostname is invalid.
Os servidores devem ser configurados para negar quaisquer URLs sem um ponto final? (Sem o ponto final, eles não são FQDNs, por RFCs, são nomes de domínio relativos.)
Um servidor DHCP desonesto não poderia enviar um caminho de pesquisa de sufixo DNS para clientes e explorar isso?
Supondo que um servidor DHCP desonesto foi capaz de enviar o sufixo de pesquisa de DNS de "evildomain.com", um usuário indo para chase.com resultaria em "chase.com.evildomain.com". Um usuário acessando "chase.com". (com ponto final, é um FQDN) não seria vulnerável a esta exploração.
Quase todas as URLs que vejo publicadas na mídia são relativas (já que o ponto final não é explícito e só se torna um verdadeiro FQDN quando o ponto final é adicionado pelas bibliotecas subjacentes).
Não deveríamos impor nomes de domínio absolutos, ou FQDNs, tanto quanto possível?
No Windows, um servidor da Web mal-intencionado não poderia simplesmente alterar o caminho de pesquisa do sufixo DNS de um usuário final? em caixas * nix, a escalação de privilégio seria necessária para atualizar o resolv.conf (onde os sufixos de pesquisa dns são configurados), mas os usuários nix ainda não estariam vulneráveis a um cenário de falsificação de DHCP?
Sempre que configuro qualquer coisa que aceite um nome de domínio DNS, incluo o ponto final. Alguns sistemas rejeitam isso em suas tentativas de validar a entrada, o que é uma pena. Os clientes Windows que dependem da devolução de DNS para AD-walking podem ser problemáticos, se você tiver um sufixo de domínio de duas partes. A MS tem soluções alternativas documentadas.
Referência resolv.conf... A configuração equivalente do Windows também requer elevação de privilégio para efetuar uma alteração.
Sim, isso é uma vulnerabilidade. Não , os servidores não devem deixar de oferecer conteúdo quando consultados usando nomes de domínio relativos à Internet.
Tentar descobrir se um nome é relativo à Internet ou apenas relativo não é um problema com uma boa solução geral sem estado. Uma solução sem estado ruim é abolir o uso de todas as nomenclaturas relativas. Nomes relativos existem por motivos válidos.
Deve-se tomar cuidado para garantir que o uso do FQDN resulte no mesmo conteúdo que o nome de domínio relativo da Internet. Isso é principalmente um problema para
httpos servidores.Se você quer ser zeloso sem ser desagradável:
308ou301em seus servidores da web para apontar os clientes na direção certa.Por padrão, os clientes DNS tentam consultas contendo pelo menos um ponto como FQDN antes de tentar o caminho de pesquisa.