Administrace komentářů

To mi přijde ještě horší než dát to na tajnou URL (například do adresáře s náhodným jménem) - zatímco URL je v HTTPS, takže může uniknout „jenom“ z prohlížeče (různé takové ty dotazy jestli je daná URL phishing), případně když ji někam nemoudře pošleš (aplikace pro instant messaging, které stahují poslaná URL a dělají z nich náhledy), tak subdoména se bude objevovat i v DNS (ano, teoreticky když ji budou mít všichni v /etc/hosts, tak se resolvne vždy lokálně, ale mně by určitě leakla v okamžiku kdy si třeba v prohlížeči nastavím SOCKS proxy, protože adminuju něco s webovým rozhraním ve vzdálené síti, a buď nechám otevřený tab, nebo si prohlížeč vymyslí, že třeba bude refreshovat favicons).

Slyšel jsem, že někteří akademičtí poskytovatelé (typu CESNET ale myslím že šlo o jeho rakouskou obdobu) používají DNS snooping na svých rekurzorech, aby zjistili, jestli někdo v jejich síti nehostuje soukromé domény (e.g. hledají doménu, která nekončí .ac.at nebo podobně whitelistováno, která resolvne na A záznam mířící do akademického rozsahu). Takže minimálně někdo obecně DNS loguje a čte. Taky bych se vůbec nedivil, kdyby nějaký provozovatel „public“ DNS („8.8.8.8“) zveřejnil nějaké anonymizované statistiky, ve kterých by se ale subdomény objevily (ale anonymizace by spočívala v tom, že by tam nebylo napsáno, kdo se na to ptal, a časy dotazů by byly zaokrouhleny třeba na dny)

Navíc na „tajné subdoméně“ nemůžeš mít HTTPS (pro běžné způsoby vydávání certifikátů nevyžadující wildcard), protože se okamžitě objeví v certificate transparency logu a souvisejících věcech.