Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
J'en suis encore sur le cul, j'essaye de faire une liste des implications
éventuelles sur la sécurité, il y a surement des choses à creuser,
notamment au niveau du XSS.
Un incident identique est arrivé chez mon nouveau registrar (victime d'un faux-positif de mon anti-spam). J'ai vu la différence.
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar? Moi j'utilise pair comme hébergeur et registrar et j'en suis content, mais c'est pour savoir.
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Dans article <1g1h2oi.1cdki8ffiojkpN%grokub@pescadoo.net>,
grokub@pescadoo.net disait...
Un incident identique est arrivé chez mon nouveau registrar (victime
d'un faux-positif de mon anti-spam). J'ai vu la différence.
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques
années), qui est ton registrar? Moi j'utilise pair comme hébergeur et
registrar et j'en suis content, mais c'est pour savoir.
--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Un incident identique est arrivé chez mon nouveau registrar (victime d'un faux-positif de mon anti-spam). J'ai vu la différence.
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar? Moi j'utilise pair comme hébergeur et registrar et j'en suis content, mais c'est pour savoir.
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Kilian CAVALOTTI
Jean-Yves Bernier wrote:
Il ne leur reste plus que l'excuse du stagiaire viré.
Trop gros. Passera pas.
-- Kilian
16:15 kadreg est passé abbé 16:17 gege> 16:15 il va mettre du temps à arriver athé...
Jean-Yves Bernier wrote:
Il ne leur reste plus que l'excuse du stagiaire viré.
Trop gros. Passera pas.
--
Kilian
16:15 kadreg est passé abbé
16:17 gege> 16:15 il va mettre du temps à arriver athé...
Il ne leur reste plus que l'excuse du stagiaire viré.
Trop gros. Passera pas.
-- Kilian
16:15 kadreg est passé abbé 16:17 gege> 16:15 il va mettre du temps à arriver athé...
Kilian CAVALOTTI
Emmanuel Florac wrote:
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar? Moi j'utilise pair comme hébergeur et registrar et j'en suis content, mais c'est pour savoir.
Gandi, je dirais, comme ça, sans trop m'avancer. ;)
-- Kilian
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles ou non. Lire la doc, c'est le Premier et Unique Commandement de l'informaticien. -+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Emmanuel Florac wrote:
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques
années), qui est ton registrar? Moi j'utilise pair comme hébergeur et
registrar et j'en suis content, mais c'est pour savoir.
Gandi, je dirais, comme ça, sans trop m'avancer. ;)
--
Kilian
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar? Moi j'utilise pair comme hébergeur et registrar et j'en suis content, mais c'est pour savoir.
Gandi, je dirais, comme ça, sans trop m'avancer. ;)
-- Kilian
Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles ou non. Lire la doc, c'est le Premier et Unique Commandement de l'informaticien. -+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"
Kilian CAVALOTTI
Xavier wrote:
But he questioned whether releasing a patch to do so would violate Internet standards.
Ah oui, c'est excellent. Ceux qui foutent en l'air le principe du DNS viennent se plaindre d'une violation des standards d'Internet. C'est moi, ou un certain nombre de sociétés américaines commencent à perdre le sens du ridicule au profit de celui de la mauvaise foi ? Après SCO, Verisign...
-- Kilian ASTUCIEUX
M : Un bousier dans chaque narine... et plus besoin... de se mettre les doigts dans le nez...
Xavier wrote:
But he questioned whether releasing a patch to
do so would violate Internet standards.
Ah oui, c'est excellent. Ceux qui foutent en l'air le principe du DNS
viennent se plaindre d'une violation des standards d'Internet.
C'est moi, ou un certain nombre de sociétés américaines commencent à perdre
le sens du ridicule au profit de celui de la mauvaise foi ? Après SCO,
Verisign...
--
Kilian
ASTUCIEUX
M : Un bousier dans chaque narine... et plus besoin... de se mettre les
doigts dans le nez...
But he questioned whether releasing a patch to do so would violate Internet standards.
Ah oui, c'est excellent. Ceux qui foutent en l'air le principe du DNS viennent se plaindre d'une violation des standards d'Internet. C'est moi, ou un certain nombre de sociétés américaines commencent à perdre le sens du ridicule au profit de celui de la mauvaise foi ? Après SCO, Verisign...
-- Kilian ASTUCIEUX
M : Un bousier dans chaque narine... et plus besoin... de se mettre les doigts dans le nez...
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur "Privacy Policy".
Où peut-on la lire ?
Ils ont aussi publié deux white papers : - leur implémentation <http://www.verisign.com/resources/gd/sitefinder/implementation.pdf> - et leurs "recommendations" <http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf>
ET leurs implémentations ne respectent pas ces white papers.
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur
"Privacy Policy".
Où peut-on la lire ?
Ils ont aussi publié deux white papers :
- leur implémentation
<http://www.verisign.com/resources/gd/sitefinder/implementation.pdf>
- et leurs "recommendations"
<http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf>
ET leurs implémentations ne respectent pas ces white papers.
Avant de bloquer l'adresse 64.94.110.11, jetez un oeil sur leur "Privacy Policy".
Où peut-on la lire ?
Ils ont aussi publié deux white papers : - leur implémentation <http://www.verisign.com/resources/gd/sitefinder/implementation.pdf> - et leurs "recommendations" <http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf>
ET leurs implémentations ne respectent pas ces white papers.
Eric Razny
"Emmanuel Florac" a écrit dans le message de news:
Dans article <1g1h2oi.1cdki8ffiojkpN%, disait... Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar? Moi j'utilise pair comme hébergeur et registrar et j'en suis content, mais c'est pour savoir.
ben alors, tu n'as pas de whois sous la main pour pescadoo.net?
gandi...
"Emmanuel Florac" <eflorac@imaginet.fr> a écrit dans le message de
news:MPG.19d37b8cd2b0fd7098cae2@news.free.fr...
Dans article <1g1h2oi.1cdki8ffiojkpN%grokub@pescadoo.net>,
grokub@pescadoo.net disait...
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques
années), qui est ton registrar? Moi j'utilise pair comme hébergeur et
registrar et j'en suis content, mais c'est pour savoir.
ben alors, tu n'as pas de whois sous la main pour pescadoo.net?
"Emmanuel Florac" a écrit dans le message de news:
Dans article <1g1h2oi.1cdki8ffiojkpN%, disait... Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar? Moi j'utilise pair comme hébergeur et registrar et j'en suis content, mais c'est pour savoir.
ben alors, tu n'as pas de whois sous la main pour pescadoo.net?
gandi...
Emmanuel Florac
Dans article <3f696a36$0$10404$, disait...
ben alors, tu n'as pas de whois sous la main pour pescadoo.net?
j'ai le droit de préférer la communication avec un être humain, non? :)
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
Dans article <3f696a36$0$10404$626a54ce@news.free.fr>, trash2@razny.net
disait...
ben alors, tu n'as pas de whois sous la main pour pescadoo.net?
j'ai le droit de préférer la communication avec un être humain, non? :)
--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando?
[1] Peut-on vraiment appeller ce "truc" un MTA ? :-/
a) il ne respecte aucune RFC
Il paraitrait que c'est en voie d'être résolu chez VGRS: non, ils ne l'enlèvent pas, mais ils vont faire le nécessaire pour qu'il respecte les RFC.
Patrick.
Patrick
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar?
Un registrar français, bien sérieux semble-t-il (bien qu'un de ses fondateurs ait déclaré, urbi et orbi, "je suis un voleur"), qui a juste le tort d'utiliser un script Perl (ou approchant) pour prévenir
Vous avez quelque chose contre Perl ;-) ?
Evidemment, quand on est un peu trop envahi de spam, un faux positif est vite arrivé.
Beaucoup de messages automatiques, en particulier ceux de Registrars, sont étiquettés comme SPAM par des logiciels style SpamAssassin.
Patrick.
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques
années), qui est ton registrar?
Un registrar français, bien sérieux semble-t-il (bien qu'un de ses
fondateurs ait déclaré, urbi et orbi, "je suis un voleur"), qui a juste
le tort d'utiliser un script Perl (ou approchant) pour prévenir
Vous avez quelque chose contre Perl ;-) ?
Evidemment, quand on est un peu trop envahi de spam, un faux positif est
vite arrivé.
Beaucoup de messages automatiques, en particulier ceux de Registrars,
sont étiquettés comme SPAM par des logiciels style SpamAssassin.
Juste pour info (moi aussi j'ai été victime de NetSol il y a quelques années), qui est ton registrar?
Un registrar français, bien sérieux semble-t-il (bien qu'un de ses fondateurs ait déclaré, urbi et orbi, "je suis un voleur"), qui a juste le tort d'utiliser un script Perl (ou approchant) pour prévenir
Vous avez quelque chose contre Perl ;-) ?
Evidemment, quand on est un peu trop envahi de spam, un faux positif est vite arrivé.
Beaucoup de messages automatiques, en particulier ceux de Registrars, sont étiquettés comme SPAM par des logiciels style SpamAssassin.
