Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
J'en suis encore sur le cul, j'essaye de faire une liste des implications
éventuelles sur la sécurité, il y a surement des choses à creuser,
notamment au niveau du XSS.
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
Deux liens qui peuvent être intéressants: L'implementation du machin: http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
et leurs recommandations http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf
Alain Thivillon ecrivait:
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A
sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et
un serveur de mail qui refuse tout.
Deux liens qui peuvent être intéressants:
L'implementation du machin:
http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
et leurs recommandations
http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
Deux liens qui peuvent être intéressants: L'implementation du machin: http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
et leurs recommandations http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf
Alain Thivillon
Deux liens qui peuvent être intéressants: L'implementation du machin: http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
Faut oser appeler ça une implémentation:
220 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 ready ta mere 250 OK en short 250 OK sur venus 550 User domain does not exist. bande de glands 250 OK verisign suce des ours sur pluton 221 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 closing transmission channel
(en gros ils répondet OK aux deux premiers verbes smtp, 550 au suivant 250 au supposé data et coupent apres) ...
==> si il y a deux récipients, le second sera accepté et la connexion coupée : le mail reste dans la file :/
Deux liens qui peuvent être intéressants:
L'implementation du machin:
http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
Faut oser appeler ça une implémentation:
220 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 ready
ta mere
250 OK
en short
250 OK
sur venus
550 User domain does not exist.
bande de glands
250 OK
verisign suce des ours sur pluton
221 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 closing transmission channel
(en gros ils répondet OK aux deux premiers verbes smtp, 550 au suivant
250 au supposé data et coupent apres) ...
==> si il y a deux récipients, le second sera accepté et la connexion
coupée : le mail reste dans la file :/
Deux liens qui peuvent être intéressants: L'implementation du machin: http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
Faut oser appeler ça une implémentation:
220 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 ready ta mere 250 OK en short 250 OK sur venus 550 User domain does not exist. bande de glands 250 OK verisign suce des ours sur pluton 221 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 closing transmission channel
(en gros ils répondet OK aux deux premiers verbes smtp, 550 au suivant 250 au supposé data et coupent apres) ...
==> si il y a deux récipients, le second sera accepté et la connexion coupée : le mail reste dans la file :/
scott
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un email : service non sollicité)
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
scott
je pense à un truc mais c'est peut-être bête :
en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com
avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un
email : service non sollicité)
un question : avec autant de requêtes sur la non résolution de noms en .com
qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne
soient pas down ?
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un email : service non sollicité)
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
scott
Erwan David
"scott" écrivait :
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
et ulimit possède fr.st, Verisign gère .com au nom de la communauté. Il y a une différence, non ?
je pense à un truc mais c'est peut-être bête :
en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com
avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
et ulimit possède fr.st, Verisign gère .com au nom de la
communauté. Il y a une différence, non ?
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
et ulimit possède fr.st, Verisign gère .com au nom de la communauté. Il y a une différence, non ?
Xavier Henner
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un email : service non sollicité)
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
MS pratique la meme politique avec IE
en nombre de hit c'est comparable.
-- Xavier Henner
je pense à un truc mais c'est peut-être bête :
en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com
avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un
email : service non sollicité)
un question : avec autant de requêtes sur la non résolution de noms en .com
qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne
soient pas down ?
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un email : service non sollicité)
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
MS pratique la meme politique avec IE
en nombre de hit c'est comparable.
-- Xavier Henner
Thierry
Bonjour,
scott a écrit :
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
Pourquoi ? Il vous repond encore a vous ?
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Bonjour,
scott a écrit :
un question : avec autant de requêtes sur la non résolution de noms en
.com qui renvoie vers leur page w3 comment se fait-il que leur(s)
serveur(s) ne soient pas down ?
Pourquoi ? Il vous repond encore a vous ?
--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
Pourquoi ? Il vous repond encore a vous ?
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Paul GABORIT
À (at) 16 Sep 2003 15:37:04 GMT, Mouskouyouss écrivait (wrote):
Deux liens qui peuvent être intéressants: L'implementation du machin: http://www.verisign.com/resources/gd/sitefinder/implementation.pdf
et leurs recommandations http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf
Un autre document intéressant est la réponse de l'IAB :
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/> Remove '.OOO' from e-mail address - Supprimez '.OOO' de l'adresse e-mail
Cedric Blancher
Dans sa prose, Xavier Henner nous ecrivait :
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ? MS pratique la meme politique avec IE en nombre de hit c'est comparable.
Attends, on n'a beau ne pas aimer MS, il faut quand même ne pas dire n'importe quoi. MS ne pratique pas la même politique. IE possède une "feature" qui consiste à renvoyer le champ URL vers _un_ moteur de recherche quand la requête de nom échoue. Du temps où je me servait de Windows, j'avais un outil (TweakUI) qui me permettait :
1. de choisir le moteur de recherche que je voulais utiliser 2. de désactiver cette recherche en mettant le champ à zéro
Et ça ne touche _que_ les utilisateurs de IE, qui, si ça ne leur plait pas, on toujours le choix d'utiliser autre choses.
Alors que Verisign vient perturber un service dont la communauté leur a confié une partie de la gestion. Et cette perturbation concerne _tout_ le monde et ne peut pas être contournée simplement en changeant de navigateur.
Nuance énorme amha.
-- Le dino, c'est celui qui comprend un message qu'il ne lit pas. Le neuneu, c'est celui qui ne comprend pas un message qu'il lit. -+-GF in Guide du Neuneu Usenet - Et c'est ainsi qu'Allah est grand-+-
Dans sa prose, Xavier Henner nous ecrivait :
un question : avec autant de requêtes sur la non résolution de noms
en .com qui renvoie vers leur page w3 comment se fait-il que leur(s)
serveur(s) ne soient pas down ?
MS pratique la meme politique avec IE en nombre de hit c'est comparable.
Attends, on n'a beau ne pas aimer MS, il faut quand même ne pas dire
n'importe quoi. MS ne pratique pas la même politique. IE possède une
"feature" qui consiste à renvoyer le champ URL vers _un_ moteur de
recherche quand la requête de nom échoue. Du temps où je me servait de
Windows, j'avais un outil (TweakUI) qui me permettait :
1. de choisir le moteur de recherche que je voulais utiliser
2. de désactiver cette recherche en mettant le champ à zéro
Et ça ne touche _que_ les utilisateurs de IE, qui, si ça ne leur plait
pas, on toujours le choix d'utiliser autre choses.
Alors que Verisign vient perturber un service dont la communauté leur a
confié une partie de la gestion. Et cette perturbation concerne _tout_ le
monde et ne peut pas être contournée simplement en changeant de
navigateur.
Nuance énorme amha.
--
Le dino, c'est celui qui comprend un message qu'il ne lit pas.
Le neuneu, c'est celui qui ne comprend pas un message qu'il lit.
-+-GF in Guide du Neuneu Usenet - Et c'est ainsi qu'Allah est grand-+-
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ? MS pratique la meme politique avec IE en nombre de hit c'est comparable.
Attends, on n'a beau ne pas aimer MS, il faut quand même ne pas dire n'importe quoi. MS ne pratique pas la même politique. IE possède une "feature" qui consiste à renvoyer le champ URL vers _un_ moteur de recherche quand la requête de nom échoue. Du temps où je me servait de Windows, j'avais un outil (TweakUI) qui me permettait :
1. de choisir le moteur de recherche que je voulais utiliser 2. de désactiver cette recherche en mettant le champ à zéro
Et ça ne touche _que_ les utilisateurs de IE, qui, si ça ne leur plait pas, on toujours le choix d'utiliser autre choses.
Alors que Verisign vient perturber un service dont la communauté leur a confié une partie de la gestion. Et cette perturbation concerne _tout_ le monde et ne peut pas être contournée simplement en changeant de navigateur.
Nuance énorme amha.
-- Le dino, c'est celui qui comprend un message qu'il ne lit pas. Le neuneu, c'est celui qui ne comprend pas un message qu'il lit. -+-GF in Guide du Neuneu Usenet - Et c'est ainsi qu'Allah est grand-+-
analogue
scott wrote:
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
Chez moi je n'ai jamais pu y aller depuis que je suis au courant. Ca resout, mais le serveur web a toujours ete a la masse. Je peux acceder a leur http://sitefinder.verisign.com/ mais quelqu'un peut me dire si ce site est le meme que http://sitefinder-idn.verisign.com/ (qui prends les domaines non enregistres) ?
un question : avec autant de requêtes sur la non résolution de noms en .com
qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne
soient pas down ?
Chez moi je n'ai jamais pu y aller depuis que je suis au courant. Ca
resout, mais le serveur web a toujours ete a la masse.
Je peux acceder a leur http://sitefinder.verisign.com/ mais quelqu'un
peut me dire si ce site est le meme que
http://sitefinder-idn.verisign.com/ (qui prends les domaines non
enregistres) ?
un question : avec autant de requêtes sur la non résolution de noms en .com qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
Chez moi je n'ai jamais pu y aller depuis que je suis au courant. Ca resout, mais le serveur web a toujours ete a la masse. Je peux acceder a leur http://sitefinder.verisign.com/ mais quelqu'un peut me dire si ce site est le meme que http://sitefinder-idn.verisign.com/ (qui prends les domaines non enregistres) ?
"scott" a écrit dans le message de news:bk7bnu$c65$
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
A mon sens non. fr.st est un domaine acheté par une société qui fait ce qu'elle veut derrière. *.net et *.com n'appartiennent pas à verisign. Ce dernier est l'intermédiaire forcé pour l'enregistrement du nom dans la base, ce qui n'est pas pareil.
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un email : service non sollicité)
Ca va surtout être bientôt filtré un peu partout j'espère (mon fw renverra bientôt un host unreachable je crois[1]). Les moteurs de recherche leur feront peut être aussi un procès pour concurrence déloyale (ils favorisent ainsi illégitimement leurs services).
un question : avec autant de requêtes sur la non résolution de noms en .com
qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
Avec un peu de chance (au sens anglo-saxon le "chance"? peut être pas :) ) ça ne va pas tarder. D'autant que j'imagine que verisign risque d'être victime de quelques hacktivistes et militants de tout poil...
Le pire c'est que verisign continuera d'avoir une bonne réputation auprès de ceux qui n'y comprennent rien! :( Ce n'est pas une de leur division qui avait émis des certifs "MS" à quelqu'un qui n'avait rien à voir déjà?
Eric.
[1] ou pour éviter que le browser n'affiche une info erronée, peut être un DNAT vers un service qui se contentera d'envoyer le message d'erreur qui va bien, uniquement pour les connexions en sortie. Ou alors un petit enregistrement de plus sur le DNS local quand je le gère... Et un petit script cron pour mettre à jours les bases de mon petit sendmail[2]...
[2] oui je sais.... mais j'ai l'habitude avec ce machin et je suis donc moins dangereux qu'avec d'autres MTA :)
"scott" <euh.finalement.j.ai.change@d.avis> a écrit dans le message de
news:bk7bnu$c65$1@news-reader2.wanadoo.fr...
je pense à un truc mais c'est peut-être bête :
en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com
avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
A mon sens non.
fr.st est un domaine acheté par une société qui fait ce qu'elle veut
derrière.
*.net et *.com n'appartiennent pas à verisign. Ce dernier est
l'intermédiaire forcé pour l'enregistrement du nom dans la base, ce qui
n'est pas pareil.
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un
email : service non sollicité)
Ca va surtout être bientôt filtré un peu partout j'espère (mon fw renverra
bientôt un host unreachable je crois[1]).
Les moteurs de recherche leur feront peut être aussi un procès pour
concurrence déloyale (ils favorisent ainsi illégitimement leurs services).
un question : avec autant de requêtes sur la non résolution de noms en
.com
qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne
soient pas down ?
Avec un peu de chance (au sens anglo-saxon le "chance"? peut être pas :) )
ça ne va pas tarder. D'autant que j'imagine que verisign risque d'être
victime de quelques hacktivistes et militants de tout poil...
Le pire c'est que verisign continuera d'avoir une bonne réputation auprès de
ceux qui n'y comprennent rien! :(
Ce n'est pas une de leur division qui avait émis des certifs "MS" à
quelqu'un qui n'avait rien à voir déjà?
Eric.
[1] ou pour éviter que le browser n'affiche une info erronée, peut être un
DNAT vers un service qui se contentera d'envoyer le message d'erreur qui va
bien, uniquement pour les connexions en sortie. Ou alors un petit
enregistrement de plus sur le DNS local quand je le gère...
Et un petit script cron pour mettre à jours les bases de mon petit
sendmail[2]...
[2] oui je sais.... mais j'ai l'habitude avec ce machin et je suis donc
moins dangereux qu'avec d'autres MTA :)
"scott" a écrit dans le message de news:bk7bnu$c65$
je pense à un truc mais c'est peut-être bête : en fait ce que fait Verisign n'est ni plus ni moins ce que fait Ulimit.com avec les noms de domaines en .fr.st (à une moindre échelle il est vrai)
A mon sens non. fr.st est un domaine acheté par une société qui fait ce qu'elle veut derrière. *.net et *.com n'appartiennent pas à verisign. Ce dernier est l'intermédiaire forcé pour l'enregistrement du nom dans la base, ce qui n'est pas pareil.
ceci dit c'est vraiment prise de tête (ça s'apparente à un spam pour un email : service non sollicité)
Ca va surtout être bientôt filtré un peu partout j'espère (mon fw renverra bientôt un host unreachable je crois[1]). Les moteurs de recherche leur feront peut être aussi un procès pour concurrence déloyale (ils favorisent ainsi illégitimement leurs services).
un question : avec autant de requêtes sur la non résolution de noms en .com
qui renvoie vers leur page w3 comment se fait-il que leur(s) serveur(s) ne soient pas down ?
Avec un peu de chance (au sens anglo-saxon le "chance"? peut être pas :) ) ça ne va pas tarder. D'autant que j'imagine que verisign risque d'être victime de quelques hacktivistes et militants de tout poil...
Le pire c'est que verisign continuera d'avoir une bonne réputation auprès de ceux qui n'y comprennent rien! :( Ce n'est pas une de leur division qui avait émis des certifs "MS" à quelqu'un qui n'avait rien à voir déjà?
Eric.
[1] ou pour éviter que le browser n'affiche une info erronée, peut être un DNAT vers un service qui se contentera d'envoyer le message d'erreur qui va bien, uniquement pour les connexions en sortie. Ou alors un petit enregistrement de plus sur le DNS local quand je le gère... Et un petit script cron pour mettre à jours les bases de mon petit sendmail[2]...
[2] oui je sais.... mais j'ai l'habitude avec ce machin et je suis donc moins dangereux qu'avec d'autres MTA :)
