我正在尝试学习如何实现DNS服务器,并且首先关注Heroku。
为什么他们将@指向hidden-sierra-7936.herokudns.com.?为什么不只是foo.herokudns.com.,或者更好的是herokudns.com.(没有子域),甚至更好的是heroku.com.(主网站)。是什么原因呢?以上所有这些是安全性,性能,体系结构需求还是其他?更具体地说,这些原因的详细信息是什么,它是否取决于通过的请求数量,这就是<dynamic-name>.herokudns...的原因,所以其中有很多?或者,如果其中一个出现错误,他们可以快速进行切换?
最后,是否可以避免/反驳/争论这些原因,以便使域名更好,而只需执行heroku.com.?您为什么不能只在heroku.com.上执行此操作? (如果您正在构建Heroku,那么显然Heroku不支持此功能。
我也在看this。看起来Heroku used to的作用类似于proxy.heroku.com,但是由于某些原因,他们将其切换了。为什么?
就使用.heroku.com上的子域,这至少部分是安全缓解措施。
考虑this blog post from GitHub中的论点,当他们将Pages站点从.github.com移至.github.io时发布:
有两大类潜在的安全漏洞,它们导致此更改。
- 由于浏览器安全性问题而导致的会话固定和CSRF漏洞有时也称为“相关域Cookie”。由于Pages网站可能包含自定义JavaScript并托管在github.com子域上,因此有可能以允许攻击者拒绝访问github.com的方式写入(但不能读取)github.com域cookie,并且/或者修复了用户的CSRF令牌。
- 网络钓鱼攻击依靠“ github.com”域的存在来在恶意网站中产生虚假的信任感。例如,攻击者可以在“ account-security.github.com”上建立一个Pages站点,并要求用户输入密码,账单或其他敏感信息。