Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
J'en suis encore sur le cul, j'essaye de faire une liste des implications
éventuelles sur la sécurité, il y a surement des choses à creuser,
notamment au niveau du XSS.
"Eric PETIT" a écrit dans le message de news:bk73ig$gco$
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o))
Justement, peut on imaginer qu'il s'agit d'un coup tordu hors de leur fait ?
-- CubaLibre www.confidentiel.net
"Eric PETIT" <nulle@part.fr> a écrit dans le message de news:bk73ig$gco$1@news-reader1.wanadoo.fr...
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en
question parce qu'avec toutes les requettes qu'ils vont se prendre, les
employés de la boite risquent de ressentir une certaine lenteur dans la
navigation sur le web aujourd'hui ;o))
Justement, peut on imaginer qu'il s'agit d'un coup tordu hors de leur fait ?
"Eric PETIT" a écrit dans le message de news:bk73ig$gco$
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o))
Justement, peut on imaginer qu'il s'agit d'un coup tordu hors de leur fait ?
-- CubaLibre www.confidentiel.net
Cedric Blancher
Dans sa prose, analogue nous ecrivait :
Chez moi je n'ai jamais pu y aller depuis que je suis au courant. Ca resout, mais le serveur web a toujours ete a la masse. Je peux acceder a leur http://sitefinder.verisign.com/ mais quelqu'un peut me dire si ce site est le meme que http://sitefinder-idn.verisign.com/ (qui prends les domaines non enregistres) ?
Il semble que ce soit le cas. Je me demande s'il y a la même XSS :
we're waiting for [the phone company] to fix that line
Dans sa prose, analogue nous ecrivait :
Chez moi je n'ai jamais pu y aller depuis que je suis au courant. Ca
resout, mais le serveur web a toujours ete a la masse. Je peux acceder a
leur http://sitefinder.verisign.com/ mais quelqu'un peut me dire si ce
site est le meme que http://sitefinder-idn.verisign.com/ (qui prends les
domaines non enregistres) ?
Il semble que ce soit le cas. Je me demande s'il y a la même XSS :
Chez moi je n'ai jamais pu y aller depuis que je suis au courant. Ca resout, mais le serveur web a toujours ete a la masse. Je peux acceder a leur http://sitefinder.verisign.com/ mais quelqu'un peut me dire si ce site est le meme que http://sitefinder-idn.verisign.com/ (qui prends les domaines non enregistres) ?
Il semble que ce soit le cas. Je me demande s'il y a la même XSS :
we're waiting for [the phone company] to fix that line
Julien Lesaint
On 16 Sep 2003 17:41:16 GMT, Xavier wrote in message <1g1e870.1vnbcri5u4pywN% :
Euh... Tu crois qu'au Noc chez Rain/FranceTelecom, ils le savent ? Et que ça les intéresse s'ils l'apprennent ?
Détrompe toi, ils sont au courant et suivent l'histoire "à leur façon", d'après ce que j'ai pu voir de loin. Dans tous les cas ça n'est pas FT qui fera bouger Verisign...
-- Julien Lesaint.
On 16 Sep 2003 17:41:16 GMT, Xavier wrote
in message <1g1e870.1vnbcri5u4pywN%xavier@groumpf.org> :
Euh... Tu crois qu'au Noc chez Rain/FranceTelecom, ils le savent ? Et
que ça les intéresse s'ils l'apprennent ?
Détrompe toi, ils sont au courant et suivent l'histoire "à leur façon",
d'après ce que j'ai pu voir de loin. Dans tous les cas ça n'est pas FT qui
fera bouger Verisign...
On 16 Sep 2003 17:41:16 GMT, Xavier wrote in message <1g1e870.1vnbcri5u4pywN% :
Euh... Tu crois qu'au Noc chez Rain/FranceTelecom, ils le savent ? Et que ça les intéresse s'ils l'apprennent ?
Détrompe toi, ils sont au courant et suivent l'histoire "à leur façon", d'après ce que j'ai pu voir de loin. Dans tous les cas ça n'est pas FT qui fera bouger Verisign...
-- Julien Lesaint.
Rafael Pinilla
Xavier Roche wrote:
Fabien LE LEZ wrote:
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
Leur coup d'envoyer de faux avis de renouvellement de domaines aux clients de leurs concurrents était aussi pas mal.
Bientôt les sites de cul et le bulk email Verisign?
Tiens, parlons en: Si ils effectuent un enregistrement de toutes les adresses email transmises dans le traffic smtp, les destinataires sont logiquement des adresses erronées, mais les auteurs... Un enregistrement de champs From:, en base de donnée, le voilà ton bulk email verisign. Et à l'allure où ils sont slashdottés en ce moment même, ella va croitre vite, cette base.
-- [Courriel envoyé depuis un système Linux, vous pouvez toujours chercher un virus, moi j'ai réglé le problème depuis longtemps.] ------------------------------------------------------ Dr Rafael Pinilla Médecin mail:// Linux addict since 1992 http://www.newsmedicales.net L'actualité médicale ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => fonctionnel ! http://www.medwiki.org Encyclopedie médicale Libre ------------------------------------------------------
Xavier Roche wrote:
Fabien LE LEZ wrote:
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que
maintenant, tout le monde est au courant que ce sont des escrocs ?
Leur coup d'envoyer de faux avis de renouvellement de domaines aux
clients de leurs concurrents était aussi pas mal.
Bientôt les sites de cul et le bulk email Verisign?
Tiens, parlons en:
Si ils effectuent un enregistrement de toutes les adresses email transmises
dans le traffic smtp, les destinataires sont logiquement des adresses
erronées, mais les auteurs...
Un enregistrement de champs From:, en base de donnée, le voilà ton bulk
email verisign.
Et à l'allure où ils sont slashdottés en ce moment même, ella va croitre
vite, cette base.
--
[Courriel envoyé depuis un système Linux, vous pouvez
toujours chercher un virus, moi j'ai réglé le problème
depuis longtemps.]
------------------------------------------------------
Dr Rafael Pinilla Médecin
mail://rafa@pinilla.org Linux addict since 1992
http://www.newsmedicales.net L'actualité médicale
^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => fonctionnel !
http://www.medwiki.org Encyclopedie médicale Libre
------------------------------------------------------
A part ça, c'est quand même un pari sacrément risqué, non ? Vu que maintenant, tout le monde est au courant que ce sont des escrocs ?
Leur coup d'envoyer de faux avis de renouvellement de domaines aux clients de leurs concurrents était aussi pas mal.
Bientôt les sites de cul et le bulk email Verisign?
Tiens, parlons en: Si ils effectuent un enregistrement de toutes les adresses email transmises dans le traffic smtp, les destinataires sont logiquement des adresses erronées, mais les auteurs... Un enregistrement de champs From:, en base de donnée, le voilà ton bulk email verisign. Et à l'allure où ils sont slashdottés en ce moment même, ella va croitre vite, cette base.
-- [Courriel envoyé depuis un système Linux, vous pouvez toujours chercher un virus, moi j'ai réglé le problème depuis longtemps.] ------------------------------------------------------ Dr Rafael Pinilla Médecin mail:// Linux addict since 1992 http://www.newsmedicales.net L'actualité médicale ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => fonctionnel ! http://www.medwiki.org Encyclopedie médicale Libre ------------------------------------------------------
Stephane Catteau
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Dans sa prose, Xavier Henner nous ecrivait :
MS pratique la meme politique avec IE en nombre de hit c'est comparable.
Attends, on n'a beau ne pas aimer MS, il faut quand même ne pas dire n'importe quoi. MS ne pratique pas la même politique. IE possède une "feature" qui consiste à renvoyer le champ URL vers _un_ moteur de recherche quand la requête de nom échoue.
De plus l'option est désactivable directement en passant par les options d'IE.
Alors que Verisign vient perturber un service dont la communauté leur a confié une partie de la gestion. Et cette perturbation concerne _tout_ le monde et ne peut pas être contournée simplement en changeant de navigateur.
En parlant de ça, puisque tous les noms de domaines en .com et .net sont maintenant résolus, et qu'un nombre de plus en plus grand de MTA vérifie l'existence du domaine d'emission, n'y a-t-il pas à court terme un risque de saturation des DNS ?
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Cedric Blancher nous disait récement dans fr.comp.securite
<news:pan.2003.09.16.17.37.37.32452@cartel-securite.fr> :
Dans sa prose, Xavier Henner nous ecrivait :
MS pratique la meme politique avec IE en nombre de hit c'est
comparable.
Attends, on n'a beau ne pas aimer MS, il faut quand même ne pas
dire n'importe quoi. MS ne pratique pas la même politique. IE
possède une "feature" qui consiste à renvoyer le champ URL vers
_un_ moteur de recherche quand la requête de nom échoue.
De plus l'option est désactivable directement en passant par les
options d'IE.
Alors que Verisign vient perturber un service dont la communauté
leur a confié une partie de la gestion. Et cette perturbation
concerne _tout_ le monde et ne peut pas être contournée simplement
en changeant de navigateur.
En parlant de ça, puisque tous les noms de domaines en .com et .net
sont maintenant résolus, et qu'un nombre de plus en plus grand de MTA
vérifie l'existence du domaine d'emission, n'y a-t-il pas à court terme
un risque de saturation des DNS ?
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Dans sa prose, Xavier Henner nous ecrivait :
MS pratique la meme politique avec IE en nombre de hit c'est comparable.
Attends, on n'a beau ne pas aimer MS, il faut quand même ne pas dire n'importe quoi. MS ne pratique pas la même politique. IE possède une "feature" qui consiste à renvoyer le champ URL vers _un_ moteur de recherche quand la requête de nom échoue.
De plus l'option est désactivable directement en passant par les options d'IE.
Alors que Verisign vient perturber un service dont la communauté leur a confié une partie de la gestion. Et cette perturbation concerne _tout_ le monde et ne peut pas être contournée simplement en changeant de navigateur.
En parlant de ça, puisque tous les noms de domaines en .com et .net sont maintenant résolus, et qu'un nombre de plus en plus grand de MTA vérifie l'existence du domaine d'emission, n'y a-t-il pas à court terme un risque de saturation des DNS ?
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Stephane Catteau
CubaLibre nous disait récement dans fr.comp.securite <news:bk7ftt$nhq$ :
"Eric PETIT" a écrit dans le message de
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o))
Justement, peut on imaginer qu'il s'agit d'un coup tordu hors de leur fait ?
Hélas non, sinon ils auraient rétablis la situation depuis longtemps. Mais s'ils se ramassent en beauté il est probable qu'ils essayent de placer ça comme excuse. Une version moderne du stagiaire...
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
CubaLibre nous disait récement dans fr.comp.securite
<news:bk7ftt$nhq$1@apollon.grec.isp.9tel.net> :
"Eric PETIT" <nulle@part.fr> a écrit dans le message de
De plus, j'espère qu'ils ont prévu une BP monstre sur leur
machine en question parce qu'avec toutes les requettes qu'ils
vont se prendre, les employés de la boite risquent de ressentir
une certaine lenteur dans la navigation sur le web aujourd'hui
;o))
Justement, peut on imaginer qu'il s'agit d'un coup tordu hors de
leur fait ?
Hélas non, sinon ils auraient rétablis la situation depuis longtemps.
Mais s'ils se ramassent en beauté il est probable qu'ils essayent de
placer ça comme excuse. Une version moderne du stagiaire...
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
CubaLibre nous disait récement dans fr.comp.securite <news:bk7ftt$nhq$ :
"Eric PETIT" a écrit dans le message de
De plus, j'espère qu'ils ont prévu une BP monstre sur leur machine en question parce qu'avec toutes les requettes qu'ils vont se prendre, les employés de la boite risquent de ressentir une certaine lenteur dans la navigation sur le web aujourd'hui ;o))
Justement, peut on imaginer qu'il s'agit d'un coup tordu hors de leur fait ?
Hélas non, sinon ils auraient rétablis la situation depuis longtemps. Mais s'ils se ramassent en beauté il est probable qu'ils essayent de placer ça comme excuse. Une version moderne du stagiaire...
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Xavier Roche
Julien Lesaint wrote:
Détrompe toi, ils sont au courant et suivent l'histoire "à leur façon"
Un baillement = ils approuvent Deux baillements = ils désapprouvent
Julien Lesaint wrote:
Détrompe toi, ils sont au courant et suivent l'histoire "à leur façon"
Un baillement = ils approuvent
Deux baillements = ils désapprouvent
Détrompe toi, ils sont au courant et suivent l'histoire "à leur façon"
Un baillement = ils approuvent Deux baillements = ils désapprouvent
Jerome
"Alain Thivillon" wrote in message news:
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.
Les champs MX ne semblent pas concernés, pour l'instant seuls les champs A ont un wildcard d'après ce que j'ai vu... Donc on est épargné pour les mails pour le moment...
"Alain Thivillon" <at@rominet.net> wrote in message
news:slrnbmdf2a.toq.at-2003-03@roadrunner.rominet.net...
- Tous les mails avec des domaines incorrects que vos utilisateurs
envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
Les champs MX ne semblent pas concernés, pour l'instant seuls les champs A
ont un wildcard d'après ce que j'ai vu... Donc on est épargné pour les mails
pour le moment...
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.
Les champs MX ne semblent pas concernés, pour l'instant seuls les champs A ont un wildcard d'après ce que j'ai vu... Donc on est épargné pour les mails pour le moment...
Rafael Pinilla
Jean-Yves Bernier wrote:
C'est assez inadmissible, Verisign profite de sa son rôle privilégié dans le DNS pour rabattre l'internaute vers son portail. Ça sent l'abus DNS. Et quand on connaît l'agressivité de la firme, ça fait voir rouge.
C'est un abus.
-- [Courriel envoyé depuis un système Linux, vous pouvez toujours chercher un virus, moi j'ai réglé le problème depuis longtemps.] ------------------------------------------------------ Dr Rafael Pinilla Médecin mail:// Linux addict since 1992 http://www.newsmedicales.net L'actualité médicale ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => fonctionnel ! http://www.medwiki.org Encyclopedie médicale Libre ------------------------------------------------------
Jean-Yves Bernier wrote:
C'est assez inadmissible, Verisign profite de sa son rôle privilégié
dans le DNS pour rabattre l'internaute vers son portail. Ça sent l'abus
DNS. Et quand on connaît l'agressivité de la firme, ça fait voir rouge.
C'est un abus.
--
[Courriel envoyé depuis un système Linux, vous pouvez
toujours chercher un virus, moi j'ai réglé le problème
depuis longtemps.]
------------------------------------------------------
Dr Rafael Pinilla Médecin
mail://rafa@pinilla.org Linux addict since 1992
http://www.newsmedicales.net L'actualité médicale
^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => fonctionnel !
http://www.medwiki.org Encyclopedie médicale Libre
------------------------------------------------------
C'est assez inadmissible, Verisign profite de sa son rôle privilégié dans le DNS pour rabattre l'internaute vers son portail. Ça sent l'abus DNS. Et quand on connaît l'agressivité de la firme, ça fait voir rouge.
C'est un abus.
-- [Courriel envoyé depuis un système Linux, vous pouvez toujours chercher un virus, moi j'ai réglé le problème depuis longtemps.] ------------------------------------------------------ Dr Rafael Pinilla Médecin mail:// Linux addict since 1992 http://www.newsmedicales.net L'actualité médicale ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ => fonctionnel ! http://www.medwiki.org Encyclopedie médicale Libre ------------------------------------------------------
Fabien LE LEZ
On 16 Sep 2003 14:57:31 GMT, Erwan David wrote:
DOnc il est interdit de donner accès à un .com ou un .net depuis l'UE...
A un .com ou un .net _invalide_, plus exactement.
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 16 Sep 2003 14:57:31 GMT, Erwan David <erwan@rail.eu.org> wrote:
DOnc il est interdit de donner accès à un .com ou un .net depuis
l'UE...
A un .com ou un .net _invalide_, plus exactement.
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
