Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
J'en suis encore sur le cul, j'essaye de faire une liste des implications
éventuelles sur la sécurité, il y a surement des choses à creuser,
notamment au niveau du XSS.
3. VGRS shall not in any way attempt to warehouse, or register domain ^^^^^^^^^^^^^^^
[..]
or actuellement, ils squattent TOUS les domaines disponibles, sans passer par un registrar
Techniquement, on peut arguer du fait qu'ils ne sont pas enregistrés. Un registrar qui passe une commande RRP Check aura bien comme réponse que le domaine n'est pas déposé, donc disponible, et pourra faire un RRP ADD pour l'acheter.
D'accord, c'est limite comme argumentation. M'enfin faut s'attendre à ce qu'elle soit utilisée...
techniquement, si l'opérateur du registre utilise un domaine justement
SANS l'avoir déposé, il y a pas aussi comme un probleme ?
Pourquoi google doit payer qq dollars par ans pour avoir le droit a juste google.com et sitefinder 0 dollar pour avoir TOUS les autres domaines ?
Du point de vue de google, je pense qu'ils se font un peu avoir non ?
Si moi, je veux avoir l'equivalent de * sur .com, faut que je paye dans les 15425436196049018174958593050962235503082335125212001426989176213331890140185494 dollars a verisign, et encore faudra que j'apporte les DVDROM pour les données du whois.
3. VGRS shall not in any way attempt to warehouse, or register domain
^^^^^^^^^^^^^^^
[..]
or actuellement, ils squattent TOUS les domaines disponibles, sans
passer par un registrar
Techniquement, on peut arguer du fait qu'ils ne sont pas enregistrés.
Un registrar qui passe une commande RRP Check aura bien comme réponse que
le domaine n'est pas déposé, donc disponible, et pourra faire un RRP ADD
pour l'acheter.
D'accord, c'est limite comme argumentation. M'enfin faut s'attendre à ce
qu'elle soit utilisée...
techniquement, si l'opérateur du registre utilise un domaine justement
SANS l'avoir déposé, il y a pas aussi comme un probleme ?
Pourquoi google doit payer qq dollars par ans pour avoir le droit a
juste google.com et sitefinder 0 dollar pour avoir TOUS les autres
domaines ?
Du point de vue de google, je pense qu'ils se font un peu avoir non ?
Si moi, je veux avoir l'equivalent de * sur .com, faut que je paye dans les
15425436196049018174958593050962235503082335125212001426989176213331890140185494
dollars a verisign, et encore faudra que j'apporte les DVDROM pour les
données du whois.
3. VGRS shall not in any way attempt to warehouse, or register domain ^^^^^^^^^^^^^^^
[..]
or actuellement, ils squattent TOUS les domaines disponibles, sans passer par un registrar
Techniquement, on peut arguer du fait qu'ils ne sont pas enregistrés. Un registrar qui passe une commande RRP Check aura bien comme réponse que le domaine n'est pas déposé, donc disponible, et pourra faire un RRP ADD pour l'acheter.
D'accord, c'est limite comme argumentation. M'enfin faut s'attendre à ce qu'elle soit utilisée...
techniquement, si l'opérateur du registre utilise un domaine justement
SANS l'avoir déposé, il y a pas aussi comme un probleme ?
Pourquoi google doit payer qq dollars par ans pour avoir le droit a juste google.com et sitefinder 0 dollar pour avoir TOUS les autres domaines ?
Du point de vue de google, je pense qu'ils se font un peu avoir non ?
Si moi, je veux avoir l'equivalent de * sur .com, faut que je paye dans les 15425436196049018174958593050962235503082335125212001426989176213331890140185494 dollars a verisign, et encore faudra que j'apporte les DVDROM pour les données du whois.
-- Xavier Henner
Michel Arboi
Alain Thivillon writes:
Faut oser appeler ça une implémentation:
Je me demande comment c'est bricolé. Le tcptraceroute se perd dans le cyberespace : $ tcptraceroute dqdqdsqs.com 25 Tracing the path to dqdqdsqs.com (64.94.110.11) on TCP port 25, 30 hops max 16 65.205.32.186 (65.205.32.186) 104.675 ms 136.190 ms 135.059 ms 17 65.205.32.58 (65.205.32.58) 138.948 ms 169.421 ms 127.009 ms 18 * * * 19 * * * 20 * * * 21 * * * [snip]
Alors que ça devrait se terminer par quelque chose comme : NN sitefinder-idn.verisign.com (64.94.110.11) [open] ou bien [closed]
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Alain Thivillon <at@rominet.net> writes:
Faut oser appeler ça une implémentation:
Je me demande comment c'est bricolé. Le tcptraceroute se perd dans le
cyberespace :
$ tcptraceroute dqdqdsqs.com 25
Tracing the path to dqdqdsqs.com (64.94.110.11) on TCP port 25, 30 hops max
16 65.205.32.186 (65.205.32.186) 104.675 ms 136.190 ms 135.059 ms
17 65.205.32.58 (65.205.32.58) 138.948 ms 169.421 ms 127.009 ms
18 * * *
19 * * *
20 * * *
21 * * *
[snip]
Alors que ça devrait se terminer par quelque chose comme :
NN sitefinder-idn.verisign.com (64.94.110.11) [open] ou bien [closed]
--
arboi@alussinan.org http://arboi.da.ru
FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Je me demande comment c'est bricolé. Le tcptraceroute se perd dans le cyberespace : $ tcptraceroute dqdqdsqs.com 25 Tracing the path to dqdqdsqs.com (64.94.110.11) on TCP port 25, 30 hops max 16 65.205.32.186 (65.205.32.186) 104.675 ms 136.190 ms 135.059 ms 17 65.205.32.58 (65.205.32.58) 138.948 ms 169.421 ms 127.009 ms 18 * * * 19 * * * 20 * * * 21 * * * [snip]
Alors que ça devrait se terminer par quelque chose comme : NN sitefinder-idn.verisign.com (64.94.110.11) [open] ou bien [closed]
-- http://arboi.da.ru FAQNOPI de fr.comp.securite http://faqnopi.da.ru/
Xtof
je tape n'importe quoi comme adresse et je tombe chez verisign (tiens avant c'étai mon FAI qui avait une page comme ca.Qu'est elle devenue celle-la ?) amusons-nous à cliquer dans leur rubrique "investing"
Premier sur le podium : 1. MSN Money - Investing MSN and CNBC TV team up to provide company news, market summaries, stock quotes, historical charts and online trading. Some features require a subscription. http://moneycentral.msn.com/investor/home.asp
on dirait un cartel de la maffia !!!
J'aime aussi beaucoup le 4 : 4. Motley Fool, The Provides articles, news, and discussion boards on investing. Read about investing strategies, retirement, and personal finance. ... Index Funds. Insurance. Investing Basics. Investing Foolishly ... http://www.fool.com
je tape n'importe quoi comme adresse et je tombe chez verisign
(tiens avant c'étai mon FAI qui avait une page comme ca.Qu'est elle devenue
celle-la ?)
amusons-nous à cliquer dans leur rubrique "investing"
Premier sur le podium :
1. MSN Money - Investing
MSN and CNBC TV team up to provide company news, market summaries, stock
quotes, historical charts and online trading. Some features require a
subscription.
http://moneycentral.msn.com/investor/home.asp
on dirait un cartel de la maffia !!!
J'aime aussi beaucoup le 4 :
4. Motley Fool, The
Provides articles, news, and discussion boards on investing. Read about
investing strategies, retirement, and personal finance. ... Index Funds.
Insurance. Investing Basics. Investing Foolishly ...
http://www.fool.com
je tape n'importe quoi comme adresse et je tombe chez verisign (tiens avant c'étai mon FAI qui avait une page comme ca.Qu'est elle devenue celle-la ?) amusons-nous à cliquer dans leur rubrique "investing"
Premier sur le podium : 1. MSN Money - Investing MSN and CNBC TV team up to provide company news, market summaries, stock quotes, historical charts and online trading. Some features require a subscription. http://moneycentral.msn.com/investor/home.asp
on dirait un cartel de la maffia !!!
J'aime aussi beaucoup le 4 : 4. Motley Fool, The Provides articles, news, and discussion boards on investing. Read about investing strategies, retirement, and personal finance. ... Index Funds. Insurance. Investing Basics. Investing Foolishly ... http://www.fool.com
Eric Razny
"Alain Thivillon" a écrit dans le message de news:
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
Après tout ce qui a été dit je suggère un peu de lecture :
Comme dirait quelqu'un que je ne connais pas, no comment! :(
Notez le : "We're fully compliant with every RFC," C'est totalement en accord avec le draft qu'à pondu IETF récement à ce propos... -déjà donné ici mais pour éviter une recherche- http://www.ietf.org/internet-drafts/draft-main-typo-wcard-00.txt
-- Eric.
"Alain Thivillon" <at@rominet.net> a écrit dans le message de
news:slrnbmdf2a.toq.at-2003-03@roadrunner.rominet.net...
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Après tout ce qui a été dit je suggère un peu de lecture :
Comme dirait quelqu'un que je ne connais pas, no comment! :(
Notez le :
"We're fully compliant with every RFC,"
C'est totalement en accord avec le draft qu'à pondu IETF récement à ce
propos...
-déjà donné ici mais pour éviter une recherche-
http://www.ietf.org/internet-drafts/draft-main-typo-wcard-00.txt
"Alain Thivillon" a écrit dans le message de news:
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur 64.94.110.11, ou il y a une belle page web avec un moteur de recherche, et un serveur de mail qui refuse tout.
Après tout ce qui a été dit je suggère un peu de lecture :
Comme dirait quelqu'un que je ne connais pas, no comment! :(
Notez le : "We're fully compliant with every RFC," C'est totalement en accord avec le draft qu'à pondu IETF récement à ce propos... -déjà donné ici mais pour éviter une recherche- http://www.ietf.org/internet-drafts/draft-main-typo-wcard-00.txt
-- Eric.
Thierry
In article , says...
Evidemment, quand on est un peu trop envahi de spam, un faux positif est vite arrivé.
A une epoque tous les messages transitant par ardbeg.gandi.net etaient marqués comme spam par OSIRU. (Je sais plus si c'est le cas ayant viré de la liste osiru).
-- Thierry
In article <bkcdje.3vvksqd.2@deuzeffe.org>,
deuzeffe@nunuche.REMOVETHIS.net says...
Evidemment, quand on est un peu trop envahi de spam, un faux positif est
vite arrivé.
A une epoque tous les messages transitant par ardbeg.gandi.net etaient
marqués comme spam par OSIRU.
(Je sais plus si c'est le cas ayant viré de la liste osiru).
Evidemment, quand on est un peu trop envahi de spam, un faux positif est vite arrivé.
A une epoque tous les messages transitant par ardbeg.gandi.net etaient marqués comme spam par OSIRU. (Je sais plus si c'est le cas ayant viré de la liste osiru).
-- Thierry
Eric Razny
"Thierry" a écrit dans le message de news:
In article , says...
Evidemment, quand on est un peu trop envahi de spam, un faux positif est vite arrivé.
A une epoque tous les messages transitant par ardbeg.gandi.net etaient marqués comme spam par OSIRU. (Je sais plus si c'est le cas ayant viré de la liste osiru).
Ce n'est plus le cas, ça fait un certains temps que relays.osirusoft.com n'existe plus!
-- Eric
"Thierry" <yarglah@com.invalid> a écrit dans le message de
news:MPG.19d4604a5823f9df9897c5@news.free.fr...
In article <bkcdje.3vvksqd.2@deuzeffe.org>,
deuzeffe@nunuche.REMOVETHIS.net says...
Evidemment, quand on est un peu trop envahi de spam, un faux positif est
vite arrivé.
A une epoque tous les messages transitant par ardbeg.gandi.net etaient
marqués comme spam par OSIRU.
(Je sais plus si c'est le cas ayant viré de la liste osiru).
Ce n'est plus le cas, ça fait un certains temps que relays.osirusoft.com
n'existe plus!
Evidemment, quand on est un peu trop envahi de spam, un faux positif est vite arrivé.
A une epoque tous les messages transitant par ardbeg.gandi.net etaient marqués comme spam par OSIRU. (Je sais plus si c'est le cas ayant viré de la liste osiru).
Ce n'est plus le cas, ça fait un certains temps que relays.osirusoft.com n'existe plus!
-- Eric
Pierre LALET
Faut oser appeler ça une implémentation: Je me demande comment c'est bricolé. Le tcptraceroute se perd dans le
cyberespace : [SNIP]
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas UDP) :
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Patrick
3. VGRS shall not in any way attempt to warehouse, or register domain ^^^^^^^^^^^^^^^
[..]
or actuellement, ils squattent TOUS les domaines disponibles, sans passer par un registrar
Techniquement, on peut arguer du fait qu'ils ne sont pas enregistrés. Un registrar qui passe une commande RRP Check aura bien comme réponse que le domaine n'est pas déposé, donc disponible, et pourra faire un RRP ADD pour l'acheter.
D'accord, c'est limite comme argumentation. M'enfin faut s'attendre à ce qu'elle soit utilisée...
techniquement, si l'opérateur du registre utilise un domaine justement
SANS l'avoir déposé, il y a pas aussi comme un probleme ?
Le contrat dit que le Registre n'a pas le droit de déposer les domaines. J'essaye de vous faire comprendre que, techniquement, si on se base sur le protocole utilisé par les registrars, ces domaines n'ont *effectivement* pas été déposé par le Registre.
Ils existent dans le DNS, via un wildcard, ce qui est un tout petit peu différent.
Patrick.
3. VGRS shall not in any way attempt to warehouse, or register domain
^^^^^^^^^^^^^^^
[..]
or actuellement, ils squattent TOUS les domaines disponibles, sans
passer par un registrar
Techniquement, on peut arguer du fait qu'ils ne sont pas enregistrés.
Un registrar qui passe une commande RRP Check aura bien comme réponse
que le domaine n'est pas déposé, donc disponible, et pourra faire un
RRP ADD pour l'acheter.
D'accord, c'est limite comme argumentation. M'enfin faut s'attendre à
ce qu'elle soit utilisée...
techniquement, si l'opérateur du registre utilise un domaine justement
SANS l'avoir déposé, il y a pas aussi comme un probleme ?
Le contrat dit que le Registre n'a pas le droit de déposer les domaines.
J'essaye de vous faire comprendre que, techniquement, si on se base sur
le protocole utilisé par les registrars, ces domaines n'ont
*effectivement* pas été déposé par le Registre.
Ils existent dans le DNS, via un wildcard, ce qui est un tout petit peu
différent.
3. VGRS shall not in any way attempt to warehouse, or register domain ^^^^^^^^^^^^^^^
[..]
or actuellement, ils squattent TOUS les domaines disponibles, sans passer par un registrar
Techniquement, on peut arguer du fait qu'ils ne sont pas enregistrés. Un registrar qui passe une commande RRP Check aura bien comme réponse que le domaine n'est pas déposé, donc disponible, et pourra faire un RRP ADD pour l'acheter.
D'accord, c'est limite comme argumentation. M'enfin faut s'attendre à ce qu'elle soit utilisée...
techniquement, si l'opérateur du registre utilise un domaine justement
SANS l'avoir déposé, il y a pas aussi comme un probleme ?
Le contrat dit que le Registre n'a pas le droit de déposer les domaines. J'essaye de vous faire comprendre que, techniquement, si on se base sur le protocole utilisé par les registrars, ces domaines n'ont *effectivement* pas été déposé par le Registre.
Ils existent dans le DNS, via un wildcard, ce qui est un tout petit peu différent.
Patrick.
Michel Arboi
Pierre LALET writes:
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas UDP)
C'est vraiment un filtre IP ou l'effet magique d'un équilibreur de charge?
43 sitefinder-idn.verisign.com (64.94.110.11) [open] 104.951 ms
Je n'avais pas attendu jusque là. Mea culpa.
Pierre LALET <lalet@enseirb.fr> writes:
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un
firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas
UDP)
C'est vraiment un filtre IP ou l'effet magique d'un équilibreur de
charge?
43 sitefinder-idn.verisign.com (64.94.110.11) [open] 104.951 ms
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas UDP)
C'est vraiment un filtre IP ou l'effet magique d'un équilibreur de charge?
43 sitefinder-idn.verisign.com (64.94.110.11) [open] 104.951 ms
Je n'avais pas attendu jusque là. Mea culpa.
Pierre LALET
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas UDP) C'est vraiment un filtre IP ou l'effet magique d'un équilibreur de
charge?
J'avais pensé à un filtre, mais ça pourrait être un effet pervers (ou magique) d'autre chose (encore que 13 hops entre la vraie machine et les serveurs, ça me semble beaucoup, mais pourquoi pas).
Enfin, de toutes façons, je voulais dire que ce n'était pas lié au code du "programme" qui répond.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un
firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas
UDP)
C'est vraiment un filtre IP ou l'effet magique d'un équilibreur de
charge?
J'avais pensé à un filtre, mais ça pourrait être un effet pervers (ou
magique) d'autre chose (encore que 13 hops entre la vraie machine et les
serveurs, ça me semble beaucoup, mais pourquoi pas).
Enfin, de toutes façons, je voulais dire que ce n'était pas lié au code
du "programme" qui répond.
pierre
--
Pierre LALET
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Oui, enfin ça ça n'a rien à voir avec l'implémentation, c'est juste un firewall qui bloque les TTL trop bas pour les connexions TCP (mais pas UDP) C'est vraiment un filtre IP ou l'effet magique d'un équilibreur de
charge?
J'avais pensé à un filtre, mais ça pourrait être un effet pervers (ou magique) d'autre chose (encore que 13 hops entre la vraie machine et les serveurs, ça me semble beaucoup, mais pourquoi pas).
Enfin, de toutes façons, je voulais dire que ce n'était pas lié au code du "programme" qui répond.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
