localhost en una zona DNS

Nuestro ISP también aloja nuestro DNS externo. Por defecto incluyen una entrada para localhost.

Por ejemplo: localhost.example.com. 86400 IN A 127.0.0.1

Cuando les pido que lo eliminen, me hacen pasar un mal rato y dicen que es así como funciona Bind.

Intenté investigar un poco sobre por qué podría querer incluir eso, pero no pude encontrar mucho. Encontré al menos un lugar que pensaba que era un posible vector de ataque XSS. Parece ser bastante común, así que hice búsquedas en los 20 principales dominios de sitios web de alexa y la mayoría no tiene esa entrada, pero un par sí. Algunos otros tienen una entrada, pero en lugar de apuntar a 127.0.0.1, señalan a otro una dirección IP de ruta mundial.

De todos modos, ¿por qué querría tener locahost en la zona para mi dominio? ¿Hay algún problema con no tenerlo? ¿Hay algún tipo de mejor práctica con respecto a esto? ¿Es realmente una cosa Bind predeterminada que no conozco?

Gracias

localhost.example.coma veces se incluye en los servidores DNS internos para evitar que las solicitudes de "localhost" se filtren a Internet (para el caso en el que John Smith escribe http://localhost/en su navegador y, por cualquier motivo, su resolutor no busca en el archivo de hosts, agrega su ruta de búsqueda ( example.com) & comienza a preguntar a los servidores de nombres a qué se resuelve eso).

No tiene que tener una entrada localhost (y si su ISP piensa que es "la forma en que funciona BIND", están equivocados o son idiotas: BIND sirve lo que está en el archivo de zona, y si eliminan la localhostlínea, dejará de servir eso grabar). Como ejemplo gratuito, localhost.google.comno se resuelve, y apuesto a que el NS para ese dominio ejecuta BIND.

El vector XSS es algo en lo que nunca había pensado, pero es algo preocupante: tener una localhostentrada en su DNS público significa que cualquier máquina pirateada podría estar "en su dominio" (ejecutando un servidor web en 127.0.0.1) y potencialmente todo tipo de cosas desagradables. Probablemente sea una buena razón para deshacerse de la entrada.

Suponiendo que su resolución de nombre interna está manejando la resolución de nombre correctamente, cualquier solicitud de DNS para localhost nunca debe ir a su proveedor de DNS externo, por lo que esto no debería ser un problema en absoluto.

Una razón por la que alguien haría esto, que se me ocurre fuera de mi cabeza, es si alguien alguna vez usó una herramienta de autoría web que se equivocó con una carga de referencias absolutas a http: // localhost , pero eso supone que su ISP también alojaba en sus cajas de DNS y es una posibilidad remota.

Sin embargo, el RFC 1537 hace especificar:

Ha habido una extensa discusión sobre si agregarle o no el dominio local. La conclusión fue que "localhost". sería la mejor solución; las razones dadas fueron:

• "localhost" en sí mismo se usa y se espera que funcione en algunos sistemas.

• traducir 127.0.0.1 a "localhost.my_domain" puede hacer que algunos programas se conecten a sí mismos utilizando la interfaz de bucle de retorno cuando no lo desea.

Tenga en cuenta que todos los dominios que contienen hosts deben tener un registro A "localhost".

Hablando estrictamente, parece que su ISP es correcto para incluir localhost, pero incorrecto para usar el nombre completo.

No estoy seguro de cuál sería el punto ... De manera predeterminada, el archivo de hosts anularía la dirección externa, que casi siempre asigna localhost a 127.0.0.1.

Sin embargo, un archivo de zona BIND predeterminado incluye una zona localhost. Realmente nunca pensé en ello.