<div dir="ltr">Hola Fernando,<div><br></div><div>Concuerdo con vos en que hay que fomentar el espíritu crítico constructivo de la región (y subrayo constructivo).</div><div>Lo que sucede es que en ocasiones polarizamos algo y volvemos ese espíritu destructivo; incluso mitificamos algo y lo volvemos "complicado" o "malo" (o "bueno") porque sí nomas...</div><div><br></div><div>En el caso de DNSSEC, creo que (dicho con la simplicidad que vos mencionaste lo de IPv6 como respuesta a la falta de direcciones IP) es el utilizar un mecanismo que nos permita minimamente confiar en que si entramos a la página de un banco (por la vía de la resolución del nombre) realmente estamos en la página de ese banco y no en una de phishing que alguien creó a tal fin (entre otros)... ahora bien, si esto se resuelve con DNSSEC o con otro protocolo, esta bien... lo que creo que no aporta es el criticar y decir que hemos y estamos gastando tiempo en "algo" en lugar de proponer las mejoras a ese "algo".</div><div>Si lo que a alguien no le gusta es el nombre, que se lo cambien... pero por ello no va a ser un mejor protocolo.</div><div><br></div><div>Que hay que simplificar muchos aspectos de su operativa... seguro.</div><div>Que seguramente las cosas se puedan hacer mejor... seguro, siempre se puede partiendo de la premisa que todo es perfectible.</div><div>Que a mi me gusta más Pampita que Cristina Aguilera... seguro, pero a Cristina me la banco también.<br></div><div><br></div><div>Lo que no me gusta del artículo no es la discusión técnica, eso me encanta. Lo que no me gusta es buscar por la vía de falsos positivos y mitos desplumar algo que bien se puede tomar como lo que hay ahora y buscar mejorarlo tendiendo a algo que igualmente cumpla con la función para la que se diseñó pero sea más simple de operar y mantener que su versión anterior.</div><div><br></div><div>Saludos,</div><div>Nico</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-01-25 17:08 GMT-03:00 Fernando Gont <span dir="ltr"><<a href="mailto:fernando@gont.com.ar" target="_blank">fernando@gont.com.ar</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hola, Nicolas,<br>
<span class=""><br>
On 01/25/2016 04:46 PM, Nicolas Antoniello wrote:<br>
> En primer lugar, el párrafo inicial del artículo:<br>
><br>
> "All secure crypto on the Internet assumes that the DNS lookup from<br>
> names to IP addresses are insecure. Securing those DNS lookups therefore<br>
> enables no meaningful security. DNSSEC does make some attacks against<br>
</span>> insecure sites harder. But it doesn’t make those attacks /infeasible/,<br>
<span class="">> so sites still need to adopt secure transports like TLS. With TLS<br>
> properly configured, DNSSEC adds nothing."<br>
><br>
> Sinceramente arrancar con un axioma y basar lo que sigue sobre el no<br>
> parece una estrategia honesta... que sentido tiene comparar un mecanismo<br>
> diseñado para asegurar la "confianza" en la traslación de un nombre a<br>
> una dirección, con uno diseñado para asegurar un canal en el sentido de<br>
> confidencialidad?<br>
<br>
</span>El sentido que yo le encuentro es este, y lo comento con una analogia:<br>
(IPv6) SEND, proporciona, entre otras cosas, la posibilidad de<br>
autentificar el trafico de Neighbor Discovery ("el ARP de IPv6", para<br>
quienes no esten en el tema.<br>
<br>
Hay algun otro mecanismo que provee esto? -- No.<br>
Tiene sentido desplegar SEND? - No.<br>
Por que? - Porque es terriblemente complejo (por mil otras cuestiones<br>
mas), y porque la realidad, lo que vas a ganar haciendolo es casi nulo.<br>
<br>
<br>
Nota: No defiendo (per se) la postura del autor. Lo que entiendo es su<br>
modo de argumentar.<br>
<span class=""><br>
<br>
<br>
> Y luego, puede que muchas de las cosas que se digan den para discusión o<br>
> debate y seguramente dan para mejorar... pero el objetivo del artículo<br>
> parece ser lo que dice al final: "no soportes DNSSEC" y "soporta lo que<br>
> nosotros estamos proponiendo"... que dicho sea de paso, ni se menciona<br>
> en el artículo.<br>
> Decir que no andes en tal o cual auto porque es malo y que es mejor<br>
> andar en uno que es bueno (pero no mencionarlo) es por definición inútil<br>
> y no práctico.<br>
<br>
<br>
</span>Lo que personalmente me parece que es productivo es tener una discusión<br>
tecnica al respecto. Si Ptacek posteo eso "de bueno" o porque Vixie le<br>
robo la novia, me es irrelevante. Lo que me parece importante es que la<br>
región discuta cuestiones técnicas... así sea si el eventual resultado<br>
de la discusión fuera que el que posteo el articulo "fumo de la mala".<br>
<br>
<br>
En ocasiones en la región se toman y adoptan tecnologías con argumentos<br>
totalmente falaces. Como si el hecho de que esa tecnología estuviera<br>
fabricada en el Norte (*) la hiciera buena.<br>
<br>
IPv6 es un ejemplo de eso. Uno vive escuchando boludeces al respecto, y<br>
ve la gente festejando la adopción de IPv6 como si eso fuera "el triunfo<br>
del bien".. Cuando la realidad es que estams ante un problema de escasez<br>
de direcciones, y lo unico que tenemos sobre la mesa es IPv6 (un<br>
protocolo que si tuvieramos que diseñarlo hoy en dia ni por p* lo<br>
diseñariamos así). Yo continuo escuchando virtudes sobre el formato de<br>
paquetes mas eficiente de IPv6, y sobre otras tantas cosas, y me dan<br>
ganas de cortarme las venas con un Tramontina sin filo.<br>
<br>
Creo que hay que fomentar el espiritu critico en la región.<br>
<br>
(*) La tecnología esta hecha en el Norte... pero todo el Service Pack en<br>
latinoamerica ;-) #LTA<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Fernando Gont<br>
e-mail: <a href="mailto:fernando@gont.com.ar">fernando@gont.com.ar</a> || <a href="mailto:fgont@si6networks.com">fgont@si6networks.com</a><br>
PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</div></div></blockquote></div><br></div>