voilà voilà, j'hésitais à le mettre dans la section des meilleurs liens, mais
http://www.verisign-c-est-des-blaireaux.com
Au passage, vous noterez que personne n'a pris ce DNS ... et pourtant, ca rebalance une page ...
allez, quelques liens discutant de ceci :
linuxfr.org
slashdot
le mail de verisign
leur implémentation
best pratices
mais QUI est verisign
donc merci à eux de remettre en cause tout Internet, tous les problèmes de réseau et de sécurité (DNS automatiquements alloués à leur ip) etc.
Bon, dès que je repasse sous nux, c'est pas compliqué, leur ip, elle sera vite firewallée ... RIEN NE PASSERA CHEZ EUX
un pti post sur news groups qui résume bien la situation :
------------------------------------------------------
Sujet: Verisign, va bruler en enfer !
De: xxxxxxxxxxxxxxxxx
Groupes: fr.comp.securite
Organisation: xxxxxxxxxxxxxxx
Date: 16. Sep 2003, 07:31:33
Bonjour,
Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.
Conséquences:
- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la
confidentialité.
- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.
- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).
*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.
La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.
Il y a aussi des patches de Bind en préparation visiblement.
___________________________________________