Wildcards onder subdomein

Heb net bij onze IT afdeling een A record met een wildcard aangevraagd (*.staging.onzedomeinnaam.org). Dat werd geweigerd op basis van RFC1912

Waarom wilde ik die wildcard? Zodat *.staging.onzedomeinnaam.org resolved naar onze Apache staging-bak (CMS). Vervolgens kun je dan gebruikers zeggen dat ze bijv. als hun website onzesite.onzedomeinnaam.org is, ze naar onzesite.staging.onzedomeinnaam.org moeten gaan om die te bewerken. Zonder dat je al die subdomeinen nog hoeft aan te maken (Apache herkent de hostname wel uit de request).

En beter nog, alles wat op staging draait gebruikt allerlei leuke scripts die alleen werken als de site onder de "Trusted Sites" in IE valt. Waar je prima *.staging.onzedomeinnaam.org als Trusted Site in kunt voeren - dan ben je in 1 keer klaar voor alle sites.

Ik heb die RFC door zitten ploeteren en een paar gerelateerde en het enige potentieel onwenselijke effect dat ik kan bedenken is dat bijvoorbeeld iemand van binnen onze organisatie (*.onzedomeinnaam.org) surft naar http://iets.staging (en vergeet er .com, .edu, .nl of wat dan ook achter te zetten). Maar dat is nou ook niet echt een ramp... dan komt hij op de stagingserver uit, en zal hij zich wel beseffen dat hij het verkeerd getypt heeft...

Ben ik nou gek, of is er echt geen mogelijk negatief effect te bedenken van deze specifieke wildcard?

[ Voor 15% gewijzigd door PowerFlower op 10-10-2005 16:38 ]

De rewrites zijn het probleem niet (dat is nou juist precies wat we willen gaan doen). Het probleem is dat er geen clients via http://pinguin.staging.onzedomeinnaam.org op onze Apache uit gaan komen, als ofwel pinguin expliciet als sub in de DNS gedefinieerd is (zo'n expliciet record zouden we dan ongeveer 992 keer aan moeten gaan maken) ofwel pinguin als sub impliciet verwijst naar onze Apache (omdat *.staging.onzedomeinnaam.org verwijst naar Apache, en dus pinguin.staging.onzedomeinnaam.org óók). Als je dat niet doet, resolved de URI gewoon niet.

Vandaar... wildcards En ja, bij elke provider mag dat gewoon, en ja, als je zelf je DNS entries bijhoudt (ZoneEdit bijv.) kun je dat gewoon doen... alleen onze IT afdeling weigert het

[ Voor 5% gewijzigd door PowerFlower op 14-10-2005 12:45 ]

decramy schreef op zondag 16 oktober 2005 @ 01:56:
erm, bij mij werkt t al enkele jaren:

*.decramy.net

Succes

Dat zeg ik. Bij de gemiddelde jan-doedel van een bijklussende provider mag je ze zo aanmaken via een leuk webinterfaceje en daar doen ze helemaal niet moeilijk over.

Is trouwens gewoon een questie van proberen. Who cares if you screw it up?

Tis werk he, geen hobbyisme En ik wéét dat het kan -- dat is het punt niet -- ik moet ze er alleen van zien te overtuigen dat het geen kwaad kan.

axis schreef op zondag 16 oktober 2005 @ 01:58:
Dan vraag je ze toch gewoon of ze even alle 992 subdomeinen voor je aanmaken? Of die ene wildcard.. eens kijken hoe ze zich dan nog aan de regeltjes houden

Dat is de huidige tactiek dan ook Ik wacht met spanning af

Enne, vraag ze eens precies dan WAT ze uit RFC1912 denken te halen dan? Ik zie ook niets bijzonders..

Nou... het gaat met name om dit stukje:

Wildcard As and CNAMEs are possible too, and are really confusing to users, and a potential nightmare if used without thinking first. It could result (due again to domain searching) in any telnet/ftp attempts from within the domain to unknown hosts to be directed to one address. One such wildcard CNAME (in *.edu.com) caused Internet-wide loss of services and potential security nightmares due to unexpected interactions with domain searching. It resulted in swift fixes, and even an RFC ([RFC 1535]) documenting the problem.

Tsja, en als iets een "potential nightmare" is ga je het natuurlijk niet doen (kennelijk vertrouwen ze zichzelf niet genoeg op het "thinking first" gedeelte)

HunterPro schreef op zondag 16 oktober 2005 @ 02:31:
RFC's zijn in deze imo ondergeschikt aan de functie. Iedereen doet het - aka lekker boeiend. IMO een reden om een domein te verhuizen naar een ander (ik zit zelf met m'n domeinen bij exonet), het is vaak erg onhandig als je extra lang moet wachten op dit soort onzin als het voor je werk is...

Het is inderdaad ontzettend onhandig om daar lang op te moeten wachten (leg het de wachtende gebruikers maar eens uit), en nog irritanter... onze IT afdeling is gewoon een officiële provider, die dus zelf DNS registraties voor .nl doet. Soms is dat handig, maar vaak was een externe provider flexibeler en klantvriendelijker geweest... ik kan het alleen niet maken om dit buiten de deur te doen