Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
J'en suis encore sur le cul, j'essaye de faire une liste des implications
éventuelles sur la sécurité, il y a surement des choses à creuser,
notamment au niveau du XSS.
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
Avec un postfix tres recent, une snapshot, il est possible d'utiliser un policy server, et d'utiliser:
- http://gigo.com/ftp/pub/src/mfpitgdav.pl - ou celui que j'ai écrit à partir de l'example donné avec Postfix et qui vérifie aussi le récipient: http://www.rominet.net/smtpd-policy.pl
Nicob <usenet@nicob.net> wrote:
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
Avec un postfix tres recent, une snapshot, il est possible d'utiliser
un policy server, et d'utiliser:
- http://gigo.com/ftp/pub/src/mfpitgdav.pl
- ou celui que j'ai écrit à partir de l'example donné
avec Postfix et qui vérifie aussi le récipient:
http://www.rominet.net/smtpd-policy.pl
Mon pauvre petit "reject_unknown_sender_domain" chéri :(
Avec un postfix tres recent, une snapshot, il est possible d'utiliser un policy server, et d'utiliser:
- http://gigo.com/ftp/pub/src/mfpitgdav.pl - ou celui que j'ai écrit à partir de l'example donné avec Postfix et qui vérifie aussi le récipient: http://www.rominet.net/smtpd-policy.pl
Laurent Chemla
Fabien LE LEZ wrote:
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur "Privacy Policy".
Où peut-on la lire ?
L.
Fabien LE LEZ <gramster@gramster.com> wrote:
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur
"Privacy Policy".
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur "Privacy Policy".
Où peut-on la lire ?
<URL:http://sitefinder.verisign.com/privacy.jsp> quand ça veut bien fonctionner.
JLT.
Eric PETIT
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
Mr Tout-le-monde ne sera au courant de quelque chose que si ça passe au journal de 20h. De plus, je ne veux pas me lancer des fleurs car j'ai encore beaucoup à apprendre mais je me permet de supposer que si je n'y comprends rien (enfin pas grand chose, juste que nous ne pouvons joindre certaines personnes dont les mails fonctionnaient pourtant très bien il y a peu) ça n'est pas le Mr précité qui va y piger quoi que ce soit :-(
D'toute façon, comme personne (ou presque) n'a jamais entendu parler de vérisign, ils oublieront vite...
Petite question, un collègue tente d'envoyer un mails dont le domaine destinataire semble pointer sur 64.94.110.11, qu'est ce que cela signifie? , est ce que je peux supposer que le nom de domaine n'a pas été enregistré chez tous le monde ?
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o)) -- Eric
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que
maintenant, tout le monde est au courant que ce sont des escrocs ?
Mr Tout-le-monde ne sera au courant de quelque chose que si ça passe au
journal de 20h. De plus, je ne veux pas me lancer des fleurs car j'ai encore
beaucoup à apprendre mais je me permet de supposer que si je n'y comprends
rien (enfin pas grand chose, juste que nous ne pouvons joindre certaines
personnes dont les mails fonctionnaient pourtant très bien il y a peu) ça
n'est pas le Mr précité qui va y piger quoi que ce soit :-(
D'toute façon, comme personne (ou presque) n'a jamais entendu parler de
vérisign, ils oublieront vite...
Petite question, un collègue tente d'envoyer un mails dont le domaine
destinataire semble pointer sur 64.94.110.11, qu'est ce que cela signifie? ,
est ce que je peux supposer que le nom de domaine n'a pas été enregistré
chez tous le monde ?
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en
question parce qu'avec toutes les requettes qu'ils vont se prendre, les
employés de la boite risquent de ressentir une certaine lenteur dans la
navigation sur le web aujourd'hui ;o))
--
Eric
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
Mr Tout-le-monde ne sera au courant de quelque chose que si ça passe au journal de 20h. De plus, je ne veux pas me lancer des fleurs car j'ai encore beaucoup à apprendre mais je me permet de supposer que si je n'y comprends rien (enfin pas grand chose, juste que nous ne pouvons joindre certaines personnes dont les mails fonctionnaient pourtant très bien il y a peu) ça n'est pas le Mr précité qui va y piger quoi que ce soit :-(
D'toute façon, comme personne (ou presque) n'a jamais entendu parler de vérisign, ils oublieront vite...
Petite question, un collègue tente d'envoyer un mails dont le domaine destinataire semble pointer sur 64.94.110.11, qu'est ce que cela signifie? , est ce que je peux supposer que le nom de domaine n'a pas été enregistré chez tous le monde ?
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o)) -- Eric
Fabien LE LEZ
On 16 Sep 2003 13:16:14 GMT, Alain Thivillon wrote:
De toute façon le serveur ne répond quasiment plus, il est donc probable qu'ils vont rajouter des adresses ou des machines, donc bloquer ou null router cette adresse n'est pas efficace à long terme.
Pour le web, au moins, on peut interdire tout le domaine verisign.com, ça simplifie les choses...
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 13:16:14 GMT, Alain Thivillon <at@rominet.net> wrote:
De toute façon le serveur ne répond quasiment plus, il est donc probable
qu'ils vont rajouter des adresses ou des machines, donc bloquer ou
null router cette adresse n'est pas efficace à long terme.
Pour le web, au moins, on peut interdire tout le domaine verisign.com,
ça simplifie les choses...
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 13:16:14 GMT, Alain Thivillon wrote:
De toute façon le serveur ne répond quasiment plus, il est donc probable qu'ils vont rajouter des adresses ou des machines, donc bloquer ou null router cette adresse n'est pas efficace à long terme.
Pour le web, au moins, on peut interdire tout le domaine verisign.com, ça simplifie les choses...
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
Fabien LE LEZ
On 16 Sep 2003 14:29:50 GMT, "Eric PETIT" wrote:
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
Mr Tout-le-monde ne sera au courant de quelque chose que si ça passe au journal de 20h.
Par "tout le monde", j'entendais "tous les responsables de noms de domaines".
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 14:29:50 GMT, "Eric PETIT" <nulle@part.fr> wrote:
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que
maintenant, tout le monde est au courant que ce sont des escrocs ?
Mr Tout-le-monde ne sera au courant de quelque chose que si ça passe au
journal de 20h.
Par "tout le monde", j'entendais "tous les responsables de noms de
domaines".
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
Leur coup d'envoyer de faux avis de renouvellement de domaines aux clients de leurs concurrents était aussi pas mal.
Le problème, c'est qu'ils ne peuvent plus avoir de clients par des méthodes honnêtes, maintenant que personne ne peut leur accorder sa confiance...
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
Patrick
Leur coup d'envoyer de faux avis de renouvellement de domaines aux clients de leurs concurrents était aussi pas mal.
Le problème, c'est qu'ils ne peuvent plus avoir de clients par des méthodes honnêtes, maintenant que personne ne peut leur accorder sa confiance...
Ca me parait caricatural. On pourrait dire la même chose de plein de grosses sociétées (Microsoft, etc...)
Et pourtant elles continuent d'avoir des clients... parce qu'il y a toujours des gens pour croire le discours marketing et préférer ces sociétés là à d'autre (habitude, marketing, prix, etc...)
L'excellence technique et le respect des standards (RFCs, netiquette, etc...) ne sont pas les critères de monsieur-tout-le-monde.
Patrick.
Leur coup d'envoyer de faux avis de renouvellement de domaines aux
clients de leurs concurrents était aussi pas mal.
Le problème, c'est qu'ils ne peuvent plus avoir de clients par des
méthodes honnêtes, maintenant que personne ne peut leur accorder sa
confiance...
Ca me parait caricatural. On pourrait dire la même chose de plein de
grosses sociétées (Microsoft, etc...)
Et pourtant elles continuent d'avoir des clients... parce qu'il y a
toujours des gens pour croire le discours marketing et préférer ces
sociétés là à d'autre (habitude, marketing, prix, etc...)
L'excellence technique et le respect des standards (RFCs, netiquette,
etc...) ne sont pas les critères de monsieur-tout-le-monde.
Leur coup d'envoyer de faux avis de renouvellement de domaines aux clients de leurs concurrents était aussi pas mal.
Le problème, c'est qu'ils ne peuvent plus avoir de clients par des méthodes honnêtes, maintenant que personne ne peut leur accorder sa confiance...
Ca me parait caricatural. On pourrait dire la même chose de plein de grosses sociétées (Microsoft, etc...)
Et pourtant elles continuent d'avoir des clients... parce qu'il y a toujours des gens pour croire le discours marketing et préférer ces sociétés là à d'autre (habitude, marketing, prix, etc...)
L'excellence technique et le respect des standards (RFCs, netiquette, etc...) ne sont pas les critères de monsieur-tout-le-monde.
Patrick.
Fabien LE LEZ
On 16 Sep 2003 14:29:50 GMT, "Eric PETIT" wrote:
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o))
Surtout s'ils font une faute de frappe dans le nom de domaine ;-)
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 14:29:50 GMT, "Eric PETIT" <nulle@part.fr> wrote:
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en
question parce qu'avec toutes les requettes qu'ils vont se prendre, les
employés de la boite risquent de ressentir une certaine lenteur dans la
navigation sur le web aujourd'hui ;o))
Surtout s'ils font une faute de frappe dans le nom de domaine ;-)
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o))
Surtout s'ils font une faute de frappe dans le nom de domaine ;-)
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
