<div dir="ltr">.-- My secret spy satellite informs me that at 2014-10-14 8:59 AM  Mark Delany wrote:<br><div class="gmail_extra"><div class="gmail_quote"><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 13Oct14, Andree Toonk // BGPmon.net allegedly wrote:<br>
<br>
> The issues with Open Resolvers and  Geo location & CDN's has been solved<br>
> while ago<br>
<br>
Lemme see...<br>
<br>
a) Public caches insist on white-listing auths prior to sending<br>
   edns-client-subnet. Obviously white-listing is not an<br>
   internet-scale solution. I presume they intend to turn off<br>
   white-listing some time in the distant future once they determine<br>
   that sending this option is universally safe.<br></blockquote><div><br><br>Ack. But since we were talking about CDN issues. There's only a finite number of CDN's. All large ones are participating. It's not perfect but they solved this particular problem.  <br><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
b) The last version of the specification expired over 9 months ago and<br>
   seems not to have gained traction within any IETF standardization<br>
   group.<br></blockquote><div><br>But all major CDNs support it anyways as they all agree that this is a problem that needs to be solved since they number of users behind Open Resolvers is significant.<br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
c) Many OS and commercial auth and cache implementations do not offer<br>
   this option as a standard part of their implementation even though<br>
   the spec has been around for a number of years - thus participation<br>
   is pretty constrained.<br>
<br></blockquote><div><br>See B<br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
d) Technically there is some question about whether the necessary<br>
   narrowing of the privacy mask will dilute the privacy effect as the<br>
   v4 address space gets divided into ever smaller allocations. A<br>
   glitch I only recently stumbled across myself.<br></blockquote><div><br>Most folks set it to a /24 (I know OpenDNS does). Which works fine in 99% of the cases.<br> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
You could argue that the population of Open Resolvers and CDNs is<br>
small and they all know each other, but GEO location is consumed by<br>
many others besides the large CDNs providers and an increasing number<br>
of ISPs and corps place their caches in a hierarchy behind public<br>
caches.<br>
<br>
That's not to say edns-client-subnet is a bad idea, but it's drawing a<br>
rather long bow to say it was "solved" a while ago.<br></blockquote><div><br>It was solved for CDN's and Open Resolver operators which is what this discussion was about. <br><br>Cheers,<br> Andree<br><br></div></div></div></div>