Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
J'en suis encore sur le cul, j'essaye de faire une liste des implications
éventuelles sur la sécurité, il y a surement des choses à creuser,
notamment au niveau du XSS.
Le dispositif n'est pas déterministe. J'ai depuis plusieurs heures des noms qui tantôt ne résolvent pas, tantôt résolvent en 64.94.110.11. J'ai
C'est parce que tous les *.GTLD-SERVERS.NET n'ont pas encore la zone avec les Wildcard, ca devrait se propager dans la journée.
lfrigault
In article , Alain Thivillon writes: Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
Ca ressemble beaucoup à du cybersquatting. Avec un peu de chance, ça pourrait ce terminer en procès. Pour une fois, le côté procédurier des américains pourrait servir à qq chose ...
In article <slrnbmdf2a.toq.at-2003-03@roadrunner.rominet.net>,
Alain Thivillon <at@rominet.net> writes:
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
Ca ressemble beaucoup à du cybersquatting. Avec un peu de chance, ça
pourrait ce terminer en procès. Pour une fois, le côté procédurier des
américains pourrait servir à qq chose ...
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
Ca ressemble beaucoup à du cybersquatting. Avec un peu de chance, ça pourrait ce terminer en procès. Pour une fois, le côté procédurier des américains pourrait servir à qq chose ...
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
... bon ca c'est faiiit :) -- B: Quelqu'un a-t-il déjà fait fonctionner ce modem sous linux ???? G.P.: Je me demande si ça ne marcherait pas en faisant un proxy avec un vieux PC sous Windows en réseau avec un PC sous Linux. -+- in Guide de linuxien pervers : "le réseau, c'est simple comme un proxy"
In article <slrnbmdf2a.toq.at-2003-03@roadrunner.rominet.net>,
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
... bon ca c'est faiiit :)
--
B: Quelqu'un a-t-il déjà fait fonctionner ce modem sous linux ????
G.P.: Je me demande si ça ne marcherait pas en faisant un proxy
avec un vieux PC sous Windows en réseau avec un PC sous Linux.
-+- in Guide de linuxien pervers : "le réseau, c'est simple comme un proxy"
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
... bon ca c'est faiiit :) -- B: Quelqu'un a-t-il déjà fait fonctionner ce modem sous linux ???? G.P.: Je me demande si ça ne marcherait pas en faisant un proxy avec un vieux PC sous Windows en réseau avec un PC sous Linux. -+- in Guide de linuxien pervers : "le réseau, c'est simple comme un proxy"
Stephane Dupille
Bonjour,
Salut !
Ca ressemble beaucoup à du cybersquatting. Avec un peu de chance, ça pourrait ce terminer en procès. Pour une fois, le côté procédurier des américains pourrait servir à qq chose ...
Houais, faut voir... Je suis pas convaincu. AMHA ce serait mieux de tenter d'organiser une DDP (DNS Death Penalty).
-- [OUI] à fr.rec.tv.poubelle. Ca dépasse la perspective de Loft Story et il pourrait être réutilisé à l'avenir. C'est même le plus prometteur des groupes tv. A terme on devrait pouvoir supprimer tous les autres. -+- SP in <http://www.le-gnu.net> - La poubelle pour aller mater -+-
Bonjour,
Salut !
Ca ressemble beaucoup à du cybersquatting. Avec un peu de chance, ça
pourrait ce terminer en procès. Pour une fois, le côté procédurier des
américains pourrait servir à qq chose ...
Houais, faut voir... Je suis pas convaincu. AMHA ce serait mieux de
tenter d'organiser une DDP (DNS Death Penalty).
--
[OUI] à fr.rec.tv.poubelle. Ca dépasse la perspective de Loft Story et
il pourrait être réutilisé à l'avenir. C'est même le plus prometteur
des groupes tv. A terme on devrait pouvoir supprimer tous les autres.
-+- SP in <http://www.le-gnu.net> - La poubelle pour aller mater -+-
Ca ressemble beaucoup à du cybersquatting. Avec un peu de chance, ça pourrait ce terminer en procès. Pour une fois, le côté procédurier des américains pourrait servir à qq chose ...
Houais, faut voir... Je suis pas convaincu. AMHA ce serait mieux de tenter d'organiser une DDP (DNS Death Penalty).
-- [OUI] à fr.rec.tv.poubelle. Ca dépasse la perspective de Loft Story et il pourrait être réutilisé à l'avenir. C'est même le plus prometteur des groupes tv. A terme on devrait pouvoir supprimer tous les autres. -+- SP in <http://www.le-gnu.net> - La poubelle pour aller mater -+-
Laurent Chemla
Stephane Dupille <sdupille+ wrote:
Houais, faut voir... Je suis pas convaincu. AMHA ce serait mieux de tenter d'organiser une DDP (DNS Death Penalty).
Je me demande, en effet, ce qui se passerait si suffisemment de monde lançait des petits scripts chargés de balancer des requètes HTTP vers des domaines aléatoires.
L.
Stephane Dupille <sdupille+news@teaser.fr> wrote:
Houais, faut voir... Je suis pas convaincu. AMHA ce serait mieux de
tenter d'organiser une DDP (DNS Death Penalty).
Je me demande, en effet, ce qui se passerait si suffisemment de monde
lançait des petits scripts chargés de balancer des requètes HTTP vers
des domaines aléatoires.
Houais, faut voir... Je suis pas convaincu. AMHA ce serait mieux de tenter d'organiser une DDP (DNS Death Penalty).
Je me demande, en effet, ce qui se passerait si suffisemment de monde lançait des petits scripts chargés de balancer des requètes HTTP vers des domaines aléatoires.
L.
Erwan David
Alain Thivillon écrivait :
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
[...]
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet de bord qui consistera a flooder le serveur de Verisign avec des bounces sera suffisant pour qu'ils crevent la bouche ouverte).
[...]
- Pour les mails, c'est moins simple, je ne connais pas de serveur de mail permettant de refuser de relayer des messages sur l'adresse IP de destination.
Et des serveurs de mail permettant de spécifier un transport selon l'IP du MX ?
un transport vers /dev/null devrait pas être trop dur à faire non ?
Alain Thivillon <at@rominet.net> écrivait :
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
[...]
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
[...]
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Et des serveurs de mail permettant de spécifier un transport selon
l'IP du MX ?
un transport vers /dev/null devrait pas être trop dur à faire non ?
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
[...]
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet de bord qui consistera a flooder le serveur de Verisign avec des bounces sera suffisant pour qu'ils crevent la bouche ouverte).
[...]
- Pour les mails, c'est moins simple, je ne connais pas de serveur de mail permettant de refuser de relayer des messages sur l'adresse IP de destination.
Et des serveurs de mail permettant de spécifier un transport selon l'IP du MX ?
un transport vers /dev/null devrait pas être trop dur à faire non ?
Fabien LE LEZ
On 16 Sep 2003 07:31:33 GMT, Alain Thivillon wrote:
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur "Privacy Policy". En gros, si j'ai bien tout compris, ils enregistrent toutes les informations auxquelles ils ont accès...
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 07:31:33 GMT, Alain Thivillon <at@rominet.net> wrote:
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur
"Privacy Policy". En gros, si j'ai bien tout compris, ils enregistrent
toutes les informations auxquelles ils ont accès...
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que
maintenant, tout le monde est au courant que ce sont des escrocs ?
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 07:31:33 GMT, Alain Thivillon wrote:
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur "Privacy Policy". En gros, si j'ai bien tout compris, ils enregistrent toutes les informations auxquelles ils ont accès...
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
Fabien LE LEZ
On 16 Sep 2003 10:39:39 GMT, Nicob wrote:
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
J'imagine que si la situation persiste, les éditeurs de serveurs SMTP vont réagir, et considérer un domaine correspondant à 64.94.110.11 comme un domaine inconnu, non ?
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 10:39:39 GMT, Nicob <usenet@nicob.net> wrote:
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
J'imagine que si la situation persiste, les éditeurs de serveurs SMTP
vont réagir, et considérer un domaine correspondant à 64.94.110.11
comme un domaine inconnu, non ?
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
J'imagine que si la situation persiste, les éditeurs de serveurs SMTP vont réagir, et considérer un domaine correspondant à 64.94.110.11 comme un domaine inconnu, non ?
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
Alain Thivillon
Fabien LE LEZ wrote:
On 16 Sep 2003 10:39:39 GMT, Nicob wrote:
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
J'imagine que si la situation persiste, les éditeurs de serveurs SMTP vont réagir, et considérer un domaine correspondant à 64.94.110.11 comme un domaine inconnu, non ?
Il faut etre n peu plus subtil et cherche les adresses associées à un domaine qui n'existe pas (moi j'ai pris ta-mere-en-slip-chez-verisign.net) et les recharger dynamiquement de temps en temps.
De toute façon le serveur ne répond quasiment plus, il est donc probable qu'ils vont rajouter des adresses ou des machines, donc bloquer ou null router cette adresse n'est pas efficace à long terme.
Fabien LE LEZ <gramster@gramster.com> wrote:
On 16 Sep 2003 10:39:39 GMT, Nicob <usenet@nicob.net> wrote:
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
J'imagine que si la situation persiste, les éditeurs de serveurs SMTP
vont réagir, et considérer un domaine correspondant à 64.94.110.11
comme un domaine inconnu, non ?
Il faut etre n peu plus subtil et cherche les adresses associées à un domaine
qui n'existe pas (moi j'ai pris ta-mere-en-slip-chez-verisign.net) et les
recharger dynamiquement de temps en temps.
De toute façon le serveur ne répond quasiment plus, il est donc probable
qu'ils vont rajouter des adresses ou des machines, donc bloquer ou
null router cette adresse n'est pas efficace à long terme.
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
J'imagine que si la situation persiste, les éditeurs de serveurs SMTP vont réagir, et considérer un domaine correspondant à 64.94.110.11 comme un domaine inconnu, non ?
Il faut etre n peu plus subtil et cherche les adresses associées à un domaine qui n'existe pas (moi j'ai pris ta-mere-en-slip-chez-verisign.net) et les recharger dynamiquement de temps en temps.
De toute façon le serveur ne répond quasiment plus, il est donc probable qu'ils vont rajouter des adresses ou des machines, donc bloquer ou null router cette adresse n'est pas efficace à long terme.
Michel Arboi
Alain Thivillon writes:
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.
Vu le nombre de saletés qui bouncent dans tous les sens, ils ne vont pas se DoSer tous seuls ?
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet de bord qui consistera a flooder le serveur de Verisign avec des bounces sera suffisant pour qu'ils crevent la bouche ouverte).
Je vais m'empresser de coller un -w à mon spamassassin, ça leur fera de la lecture :-]
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects vont rester des jours dans la file)
On ne peut pas bricoler qqch à base d'alias sur une patte du serveur de mail, pour obtenir une erreur ?
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Alain Thivillon <at@rominet.net> writes:
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
Vu le nombre de saletés qui bouncent dans tous les sens, ils ne vont
pas se DoSer tous seuls ?
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
Je vais m'empresser de coller un -w à mon spamassassin, ça leur fera
de la lecture :-]
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file)
On ne peut pas bricoler qqch à base d'alias sur une patte du serveur
de mail, pour obtenir une erreur ?
--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.
Vu le nombre de saletés qui bouncent dans tous les sens, ils ne vont pas se DoSer tous seuls ?
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet de bord qui consistera a flooder le serveur de Verisign avec des bounces sera suffisant pour qu'ils crevent la bouche ouverte).
Je vais m'empresser de coller un -w à mon spamassassin, ça leur fera de la lecture :-]
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects vont rester des jours dans la file)
On ne peut pas bricoler qqch à base d'alias sur une patte du serveur de mail, pour obtenir une erreur ?
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
