verisign parce qu'il faut en parler - Page 1

voilà voilà, j'hésitais à le mettre dans la section des meilleurs liens, mais
http://www.verisign-c-est-des-blaireaux.com

Au passage, vous noterez que personne n'a pris ce DNS ... et pourtant, ca rebalance une page ...
allez, quelques liens discutant de ceci :
linuxfr.org
slashdot
le mail de verisign
leur implémentation
best pratices
mais QUI est verisign

donc merci à eux de remettre en cause tout Internet, tous les problèmes de réseau et de sécurité (DNS automatiquements alloués à leur ip) etc.
Bon, dès que je repasse sous nux, c'est pas compliqué, leur ip, elle sera vite firewallée ... RIEN NE PASSERA CHEZ EUX

un pti post sur news groups qui résume bien la situation :


------------------------------------------------------

Sujet: Verisign, va bruler en enfer !
De: xxxxxxxxxxxxxxxxx
Groupes: fr.comp.securite
Organisation: xxxxxxxxxxxxxxx
Date: 16. Sep 2003, 07:31:33


Bonjour,

Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.

Conséquences:

- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la
confidentialité.

- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.

- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).

*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.

La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.

Il y a aussi des patches de Bind en préparation visiblement.
___________________________________________

Pas trop compliqué à résoudre, ça. Il suffit de faire comprendre aux serveurs DNS (ou même aux librairies DNS niveau client) qu'une réponse "64.94.110.11" de la part du DNS root est n'importe quoi et qu'il ne faut pas l'accepter.

même si c'est simple à résoudre, la pratique est quand même condamnable...

Au niveau des courriels, tout nom de domaine mal tapé envoie donc maintenant le courriel au serveur de VeriSign, sans qu'aucune indication d'erreur ne puisse être transmise à l'utilisateur, et sans que l'on sache d'ailleurs ce qu'ils font du courriel (VeriSign est en bonnes relations avec le gouvernement américain).

de http://linuxfr.org/2003/09/16/13947.html


sympa

encore faut-il avoir son propre serveur DNS ... De meme, un firewall PEUT bloquer ca, mais c'est pas tout ... va faire la meme chose avec les mails ... là il me semble que ce sera plus corcé ...

et tu sais, ca n'empeche pas ce truc d'etre une merde pas possible.

je sens déja les opérations de flood massif a des adresses inexistantes en .com

ouaip ca se fait déjà

au passage, le pti truc marrant, ils te FORCENT à accepter leur licence, présentée sur leur page :
si tu tapes une mauvaise url, tu as donc, en accedant à leur page, accepté par défaut leur licence.

et ca, je pense que niveau juridique, ca passe pas top top

chickensaver :
voilà voilà, j'hésitais à le mettre dans la section des meilleurs liens, mais
http://www.verisign-c-est-des-blaireaux.com
Au passage, vous noterez que personne n'a pris ce DNS ... et pourtant, ca rebalance une page ...

Pas chez moi en tout cas. Est-ce que c'est parce que c'est trop récent ?

c pcque y sont submergé

ouaip, effet /. include.

note pour kevin : ouais c gentil de dire : on contourne c'est facile, mais ca va à l'encontre de TOUT, rfc, lois etc.

att, mais ca doit leur couter une fortune à vérysigne ???

ouais mais ca va leur rapporter aussi une fortune :

imagine : ils ont les stats de tous les connectés du monde entier, sur les urls n'existant pas encore !!!

(je pense que croustx croit qu'ils ont register ttes les urls qui n'existent pas une par une)

ca m'étonnerait pas

chickensaver :
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.

[cite]

Le serveur s'appelle "Mail Rejector Daemon" et il me dit que l'email n'existe pas. Le problème, c'est que visiblement ce robot est TRES TRES bête :
$ telnet 64.94.110.11 smtp
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby1-wceast Snubby Mail Rejector Daemon v1.3 ready
Plop
250 OK
Coin
250 OK
PAN!
550 User domain does not exist.
Zut
250 OK
\_o<
221 snubby1-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel
Connection closed by foreign host.
En fait, il se contente de répondre "250 OK" aux deux premières questions, qui sont normalement HELO et MAIL From, et "550" à la suivante.

Ca m'étonnerait qu'un serveur aussi con garde les adresses mail, quand même...

bah y'a pas besoin d'un serveur pour logger les mails, la requete est simplement lisible en tcpdump, donc il suffit de logger les ports, et c'est gagné ...

Réaction de ISC qui fait bind :

----- Forwarded message from Mark_Andrews@isc.org -----

To: bind-announce@isc.org
From: Mark_Andrews@isc.org
Subject: BIND 9.2.3rc3 is now available.
Date: Wed, 17 Sep 2003 18:03:09 +1000


BIND 9.2.3rc3 is now available.

In response to high demand from our users, ISC is releasing a patch for BIND
to support the declaration of "delegation-only" zones in caching/recursive
name servers. Briefly, a zone which has been declared "delegation-only"will
be effectively limited to containing NS RRs for subdomains, but no actual
data outside its apex (for example, its SOA RR and apex NS RRset). This can
be used to filter out "wildcard" or "synthesized" data from NAT boxes or
fromauthoritative name servers whose undelegated (in-zone) data is of no
interest.

BIND 9.2.2rc2 can be downloaded from

ftp://ftp.isc.org/isc/bind9/9.2.3rc2/bind-9.2.3rc2.tar.gz

----- End forwarded message -----

et voila

ouais moi je dis, super réactif BIND !! le patch était en fait disponible déjà une dizaine d'heure maxi, apres la découverte de ce qu'avait fait verisign

Peio
: (je pense que croustx croit qu'ils ont register ttes les urls qui n'existent pas une par une)

ce que je voulais dire c'est que ce doit couter chère, voila .. pov' con ...

sympa tes insultes ... t'a lu la charte ?

Ben, commence à censurer Thibaut et Peio si tu veux sévir sur ce point de la charte.
La manière de laquelle vous attaquez systématiquement croustx est vraiment dégueulasse.

je n'ai pas besoin que tu viennes poster apres chaque remarque que je fais a qqun sur le forum pour me dire tout le temps la même chose.
de plus c'est hors sujet alors stop

Je ne vois pas pourquoi la charte s'appliquerait à croustx et à moi et pas à Thibaut et à Peio...

HS si t pas content crée un topic

C'est fait depuis longtemps, mais ça n'a pas changé grand chose.

KK & Microbug : merci de pas dévier le sujet.


KK : on parle pas de ce genre de choses HORS de ce forum, je trouve ca ridicule. Microbug a raison de dire qu'il faudrait que tu le crèes ici.
Microbug : oui mais non

Kevin prefere faire ça chez lui, la ou il est sur de se faire mousser par ses brebis (qui a dit galeuses ?)

c'est pas toi qui le fais mousser ?

Mise à jour: http://yro.slashdot.org/yro/03/10/03/1410244.shtml?tid=126&tid=95.

Comme quoi, l'ICANN n'est pas si incompétent que ça...