Bedis 9 wrote:
>
> Google et quelques autres veulent pousser pour avoir l'IP du client
> dans la requete DNS.
> Un peu comme du X-Forwarded-For en HTTP.
>
> a+
Bonsoir,
Stephane Bortzmeyer avait fait un mail intéressant sur le sujet:
--
Mathieu Goessens
IT consultant.
geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
--- Begin Message ---
Le projet « Client IP information in DNS requests » de Google/Neustar
(<http://googlecode.blogspot.com/2010/01/proposal-to-extend-dns-protocol.html>
mais aussi l'Internet-Draft
<http://tools.ietf.org/id/draft-vandergaast-edns-client-ip>) vise à
étendre légèrement le protocole DNS pour transmettre au serveur
faisant autorité l'adresse IP du « vrai » client, i.e. la machine de
l'utilisateur. Dans le DNS actuel, le serveur faisant autorité ne voit
que l'adresse IP du résolveur, typiquement une machine du FAI ou du
service informatique. C'est une gêne pour les systèmes de statistiques
(<http://www.dnsmezzo./net/>) que cela prive d'une information utile
et c'est une gêne pour les serveurs à autorité qui font de la
géo-location, i.e. qui renvoient des informations différentes selon
l'adresse IP du client (pour répartir la charge intelligement). Cette
pratique d'informations « à la tête du client » est d'ailleurs
contestée mais je passe là dessus.
Pour la géo-location, le fait de ne pas avoir l'adresse IP de la
machine sur le bureau n'est pas un problème lorsque le résolveur est
dans le même bâtiment (cas d'une moyenne entreprise ou d'un campus
universitaire), l'adresse IP du résolveur suffit bien dans ce
cas. Mais pour un gros résolveur mondial comme Google Public DNS,
Neustar DNS advantage ou OpenDNS, la gêne est bien plus considérable :
l'adresse IP que verra le serveur faisant autorité peut alors être
très éloignée de celle du vrai client. Il n'est donc pas étonnant que
ce soient ces organismes qui poussent cette extension.
Du point de vue politique, la plus grosse question que pose cette
extension, et de loin, est celle de la protection de la vie
privée. Les auteurs en sont conscients et multiplient les garde-fous,
comme le fait de tronquer l'adresse IP à N bits significants, ou comme
la définition d'un mécanisme d'opt-out pour le client final (on note
que c'est du opt-out, pas du opt-in, ce qui est bien dans la ligne
habituelle de Google).
Du point de vue technique, la proposition technique est correcte,
sérieuse, et s'appuie sur EDNS, une méthode standard et reconnue.
Difficile de dire ce que fera l'IETF. La proposition a reçu plus de
critiques que de compliments (Vixie s'y est opposé, notamment sur la
base qu'elle n'était intéressante que pour un petit groupe et qu'on
n'allait pas normaliser juste pour ce groupe).
Quelques articles :
-
http://arstechnica.com/tech-policy/news/2010/01/google-wants-to-see-client-addresses-in-dns-queries.ars
--- End Message ---
