実際、ns2.xname.orgでは、要求の送信元に関係なく、その上にあるゾーンを(AXFR要求で)転送できます。
例:
porfel@porfel-laptop:~$ dig xname.org @ns2.xname.org axfr
; <<>> DiG 9.6.1-P2 <<>> xname.org @ns2.xname.org axfr
;; global options: +cmd
xname.org. 600 IN SOA ns0.xname.org. yann.hirou.org. 2009030501 600 1800 3600000 10800
xname.org. 600 IN TXT "v=spf1 a:vhosting.freexion.net a:ns0.xname.org a:ns1.xname.org a:ns2.xname.org a:g1.xname.org ip4:195.234.42.0/24 ~all"
xname.org. 600 IN NS ns0.xname.org.
xname.org. 600 IN NS ns1.xname.org.
xname.org. 600 IN NS ns2.xname.org.
xname.org. 600 IN NS ns3.xtremeweb.de.
xname.org. 600 IN MX 10 mxg1.freexion.net.
xname.org. 600 IN MX 20 mx2.oav.net.
xname.org. 600 IN A 92.243.14.172
demo.xname.org. 600 IN CNAME www.xname.org.
dev.xname.org. 600 IN CNAME www.xname.org.
error.xname.org. 600 IN A 193.218.105.155
g1.xname.org. 600 IN A 92.243.14.172
myip.xname.org. 600 IN CNAME www.xname.org.
ns0.xname.org. 600 IN A 195.234.42.1
ns1.xname.org. 600 IN A 87.98.164.164
ns2.xname.org. 600 IN AAAA 2a01:e0b:1:64:240:63ff:fee8:6155
ns2.xname.org. 600 IN A 88.191.64.64
o1.xname.org. 600 IN A 91.121.207.58
o1b.xname.org. 600 IN A 87.98.135.241
source.xname.org. 600 IN CNAME www.xname.org.
test.xname.org. 600 IN NS ns0.xname.org.
test.xname.org. 600 IN NS ns1.xname.org.
url.xname.org. 600 IN CNAME www.xname.org.
www.xname.org. 600 IN CNAME g1.xname.org.
xname.org. 600 IN SOA ns0.xname.org. yann.hirou.org. 2009030501 600 1800 3600000 10800
;; Query time: 147 msec
;; SERVER: 88.191.64.64#53(88.191.64.64)
;; WHEN: Tue Mar 23 01:36:15 2010
;; XFR size: 26 records (messages 3, bytes 791)
porfel@porfel-laptop:~$
他の権限のあるDNSサーバーからゾーンを要求すると、次の結果が得られます。
porfel@porfel-laptop:~$ dig xname.org @ns0.xname.org axfr
; <<>> DiG 9.6.1-P2 <<>> xname.org @ns0.xname.org axfr
;; global options: +cmd
; Transfer failed.
porfel@porfel-laptop:~$
開発者がこの領域を提供したくないという理由だけで、そこから結論を出すことができます。
私は自分のドメインでこの仮定を確認しました(権限のあるサーバーでのみ転送が許可されます)-同じことにより、構成で許可されているかどうかに関係なく、ゾーン全体を取得できます。
したがって、XNameをDNSサーバーとして使用する最大175,000のドメインは、この危険にさらされています。
このサービスのユーザーにアドバイスをしたいのです。注意して、ゾーンに秘密のものを書き込まないでください。 また、「秘密の」サブドメインがある場合は、それらの承認に注意してください。
ご清聴ありがとうございました。
PS:水曜日に問題の説明とそれを修正するためのリクエストを添えてサービスの管理者に手紙を書きましたが、今のところ答えも挨拶もありません...