<div dir="ltr"><div>Replying against my better judgement, as Andre appears to be Trolling for all he's worth.<br></div>But on the off chance...<br><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jan 5, 2017 at 9:32 PM, ox <span dir="ltr"><<a href="mailto:andre@ox.co.za" target="_blank">andre@ox.co.za</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Tue, 03 Jan 2017 09:42:38 -0800<br>
"Luis E. Muñoz" <lem@uniregistry.link> wrote:<br>
<br>
> On 3 Jan 2017, at 2:30, ox wrote:<br>
> > When it becomes a "STANDARD" (ACCEPTABLE) and nefarious behavior is<br>
> > suddenly "the way things work" - then this is of serious concern.<br>
><br>
> You seem to be assigning intent to a tool. A hammer in the hands of<br>
> an artist can produce a beautiful form of art while the same hammer<br>
> can be used to hurt someone. It's not the hammer's fault. Besides,<br>
> RPZ is not a requirement to implement the "walled gardens" you're<br>
> describing. The same thing can be achieved by other, simpler means.<br>
><br>
<br>
</span>by the same argument then it would be perfectly fine for society to<br>
promote the distribution of DDOS tools, zero day hacking tools and,<br>
well methods to defraud Internet users, define best practise for<br>
Phishing, etc.<br></blockquote><div><br></div><div>Acknowledging that tools exist is not the same as condoning their malicious, or inappropriate, use.<br><br><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
<br>
and no, of course you do not need RPZ to create "walled gardens"<br>
but discussing it "as normal practice" and "the way DNS works" and<br>
"okay" is what serves to legitimize RPZ as "perfectly fine"<br>
<br>
Whereas in truth, it is EVIL.<br></blockquote><div><br></div><div>I'm not sure that anyone's saying that it's accepted practice in the sense that everyone does - or should - do it.<br></div><div>My experience is that private network operators, or service providers, have used it for specific reasons that suit them.<br></div><div>In the case of a private network, that is entirely the right and choice.<br></div><div>In the case of service providers - the old adage 'walk with your feet' applies. If you don't like it, select a different provider.<br></div><div>At least in my part of the world, service providers are almost universally against 'mucking up' what is usually otherwise considered a clean and unmangled end-to-end service. Those service providers who do create 'walled gardens', do it for a reason, and the fact they do so is not a secret.<br></div><div><br></div><div><br></div><div> <br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> If you find the "lying" unacceptable, then this is what should be<br>
> targeted, not the tools that are being used -- which BTW have<br>
> positive uses that IMO far outweighs the abuse you're describing.<br>
> Consider this use case: RPZ can be used to prevent a set of known DNS<br>
> names from resolving, stopping the spread of computer malware.<br>
> Moreover, it can also be used to alert operators of infected machines<br>
> that their computers have been compromised.<br>
><br>
<br>
</span>Trillions and trillions of domain names can resolve to a single ip number.<br>
<br>
Please give me one (as in singular) just ONE example of a domain that<br>
has trillions of IP numbers?<br>
<br></blockquote><div><br></div><div>Removing the hyperbole, there is one very obvious and well established reason for a 1:many relationship of IP's to DNS names: Virtual service hosting.<br></div><div>Given that the DNS serves to allow a human-readable name (or names) to point to a resource (by IP), the inverse relationship doesn't seem to serve many purposes (though there is a 1:many scenario, round-robin load balancing, that comes to mind.  But again, i've removed your hyperbole which may make these examples irrelevant.<br><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Water does not flow uphill.<br>
<br>
DNS firewalls are stupid.<br></blockquote><div><br></div><div>You are expressing an opinion which is of course, your right.  But if you think that somehow you are going to change the minds of some of the _very_ learned minds who participate in this group, you have another thing coming, i'm afraid.<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class=""><br>
> I'm at least hesitant to describe any of those as lies. It's just a<br>
> protocol exchange -- my machine asked for a name-to-IP map and<br>
> received a suitable response, even one that actually fitted better<br>
> with my current situation.<br>
><br>
<br>
</span>You are wrong.<br>
<br>
When your user asks you for Google.com and you lie, this is a lie.<br>
<br>
It is not just a lie, it is fraud.<br>
<br>
If you then still take that a step further and tell different lies to<br>
different users (depends who is asking)<br>
<br>
And, RPZ stil ltakes that a step further, you deceive and hide your<br>
lies from your users<br>
<br>
AND RPZ makes the management of this easy and defines methods how this<br>
is done - It is simply a hacking tool that promotes deception, secrets,<br>
fraud and other criminal activity.<br></blockquote><div><br></div><div>This is all OTT and if it's the basis of your anger and frustration, you're going to do yourself some harm.<br></div><div>It's not fraudulent.  There's no intend to gain a pecuniary advantage. It's a safety measure[1], one fully disclosed to the user and one that can be bypassed.<br></div><div>Again you make excessive use of hyperbole here so I won't further justify your comments with a response.<br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span class=""><br>
> Granted, this is not the only use case. I dislike walled gardens,<br>
> which is why I take measures to avoid them -- yet I won't attack the<br>
> underlying technology because as I said, has far more positive uses.<br>
><br>
<br>
</span>There are many things about RPZ which is wrong - so many that it is EVIL!<br>
<br>
And I am happy to discuss all the EVIL bits, which starts at the very foundation of RPZ<br>
and goes all the way up to the roof...<br>
<span class=""><br>
<br><br></span></blockquote><div><br></div><div>You've made your feelings about RPZ known, but mailing lists are interactive and bidirectional. You don't appear willing to at least respect the right of others in this group to express their disagreements with your opinion by engaging with them rationally, and instead appear to be trying to shout everyone down.  I don't think you're doing yourself any favours.<br><br></div><div>I suggest other contributors to this thread weigh carefully their further contributions as from where I sit, this isn't going anywhere. <br></div><div>Andre has marginalised himself and revealed a relatively extreme position that he will not compromise on, despite plenty of well reasoned responses.<br><br><br></div><div>Mark.</div></div><br><br></div><div class="gmail_extra">[1] I'm aware of circumstances where it's not used as a safety measure, and is instead used (or has been used) for some stupid click-intercept-advertising-revenue-crap, which I fully do not support. However Andre is railing against every situation where DNS answers are changed or filtered... and by and large most of this i'm aware of in recent years has been in the interests of security, customer / user protection, and crime fighting / fraud intervention. Quite the opposite of what Andre seems to assert.<br></div></div></div></div>