1

voilà voilà, j'hésitais à le mettre dans la section des meilleurs liens, mais
http://www.verisign-c-est-des-blaireaux.com

Au passage, vous noterez que personne n'a pris ce DNS ... et pourtant, ca rebalance une page ...
allez, quelques liens discutant de ceci :
linuxfr.org
slashdot
le mail de verisign
leur implémentation
best pratices
mais QUI est verisign

donc merci à eux de remettre en cause tout Internet, tous les problèmes de réseau et de sécurité (DNS automatiquements alloués à leur ip) etc.
Bon, dès que je repasse sous nux, c'est pas compliqué, leur ip, elle sera vite firewallée ... RIEN NE PASSERA CHEZ EUX

un pti post sur news groups qui résume bien la situation :


------------------------------------------------------

Sujet: Verisign, va bruler en enfer !
De: xxxxxxxxxxxxxxxxx
Groupes: fr.comp.securite
Organisation: xxxxxxxxxxxxxxx
Date: 16. Sep 2003, 07:31:33


Bonjour,

Depuis cette nuit Verisign (la registry, pas netsol) a mis un wildcard
A sur *.com et *.net : tout ce qui n'est pas enregistré arrive sur
64.94.110.11, ou il y a une belle page web avec un moteur de
recherche, et un serveur de mail qui refuse tout.

Conséquences:

- Toutes les urls avec un noms de domaine incorrect dans .com et .net
que tapent vos utilisateurs arrivent chez eux. Bonjour la
confidentialité.

- Tous les mails avec des domaines incorrects que vos utilisateurs envoient
finissent chez eux. Actuellement ils bouncent des la phase SMTP, mais
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste
de domaines à créer et d'adresses emetteur et destinataires.

- Plus grave : Tous les spammeurs vont pouvoir a nouveau utiliser
n'importe quoi dans leur enveloppe SMTP (il faut espérer que l'effet
de bord qui consistera a flooder le serveur de Verisign avec des
bounces sera suffisant pour qu'ils crevent la bouche ouverte).

*PIRE*, Verisign est present dans *tous* nos navigateurs, on peut
imaginer que les glorieux marketoïdes qui sont derriere tout ça
vont générer automatiquement des certificats SSL qui seront corrects
pour n'importe quelle faute de frappe.

La solution brutale:
- null router 64.94.110.11 (ca fait mal parce que les mails incorrects
vont rester des jours dans la file). C'est visiblement ce qu'ont
commencé à faire des ISPs.
- bloquer l'accès à 64.94.110.11 sur vos relais HTTP (facile).
- Pour les mails, c'est moins simple, je ne connais pas de
serveur de mail permettant de refuser de relayer des messages
sur l'adresse IP de destination.

Il y a aussi des patches de Bind en préparation visiblement.
___________________________________________

avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

2

Pas trop compliqué à résoudre, ça. Il suffit de faire comprendre aux serveurs DNS (ou même aux librairies DNS niveau client) qu'une réponse "64.94.110.11" de la part du DNS root est n'importe quoi et qu'il ne faut pas l'accepter.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

3

même si c'est simple à résoudre, la pratique est quand même condamnable...
pencil

4

Au niveau des courriels, tout nom de domaine mal tapé envoie donc maintenant le courriel au serveur de VeriSign, sans qu'aucune indication d'erreur ne puisse être transmise à l'utilisateur, et sans que l'on sache d'ailleurs ce qu'ils font du courriel (VeriSign est en bonnes relations avec le gouvernement américain).

de http://linuxfr.org/2003/09/16/13947.html


sympa gol
avatar

5

encore faut-il avoir son propre serveur DNS ... De meme, un firewall PEUT bloquer ca, mais c'est pas tout ... va faire la meme chose avec les mails ... là il me semble que ce sera plus corcé ...

et tu sais, ca n'empeche pas ce truc d'etre une merde pas possible.
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

6

je sens déja les opérations de flood massif a des adresses inexistantes en .com

7

ouaip ca se fait déjà smile

au passage, le pti truc marrant, ils te FORCENT à accepter leur licence, présentée sur leur page :
si tu tapes une mauvaise url, tu as donc, en accedant à leur page, accepté par défaut leur licence.

et ca, je pense que niveau juridique, ca passe pas top top
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

8

chickensaver :
voilà voilà, j'hésitais à le mettre dans la section des meilleurs liens, mais
http://www.verisign-c-est-des-blaireaux.com
Au passage, vous noterez que personne n'a pris ce DNS ... et pourtant, ca rebalance une page ...
Pas chez moi en tout cas. Est-ce que c'est parce que c'est trop récent ?
avatar
Le scénario de notre univers a été rédigée par un bataillon de singes savants. Tout s'explique enfin.
T'as un problème ? Tu veux un bonbon ?
[CrystalMPQ] C# MPQ Library/Tools - [CrystalBoy] C# GB Emulator - [Monoxide] C# OSX library - M68k Opcodes

9

c pcque y sont submergé grin

10

ouaip, effet /. include.

note pour kevin : ouais c gentil de dire : on contourne c'est facile, mais ca va à l'encontre de TOUT, rfc, lois etc.
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

11

att, mais ca doit leur couter une fortune à vérysigne ???

12

ouais mais ca va leur rapporter aussi une fortune :

imagine : ils ont les stats de tous les connectés du monde entier, sur les urls n'existant pas encore !!!
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

13

(je pense que croustx croit qu'ils ont register ttes les urls qui n'existent pas une par une)
avatar

14

grin ca m'étonnerait pas smile

15

chickensaver :
rien ne dit qu'ils ne gardent pas dans une liste une jolie liste de domaines à créer et d'adresses emetteur et destinataires.

[cite]
Le serveur s'appelle "Mail Rejector Daemon" et il me dit que l'email n'existe pas. Le problème, c'est que visiblement ce robot est TRES TRES bête :
$ telnet 64.94.110.11 smtp
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby1-wceast Snubby Mail Rejector Daemon v1.3 ready
Plop
250 OK
Coin
250 OK
PAN!
550 User domain does not exist.
Zut
250 OK
\_o<
221 snubby1-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel
Connection closed by foreign host.
En fait, il se contente de répondre "250 OK" aux deux premières questions, qui sont normalement HELO et MAIL From, et "550" à la suivante.

Ca m'étonnerait qu'un serveur aussi con garde les adresses mail, quand même...
avatar
I'm on a boat motherfucker, don't you ever forget

16

bah y'a pas besoin d'un serveur pour logger les mails, la requete est simplement lisible en tcpdump, donc il suffit de logger les ports, et c'est gagné ...
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

17

Réaction de ISC qui fait bind :

----- Forwarded message from Mark_Andrews@isc.org -----

To: bind-announce@isc.org
From: Mark_Andrews@isc.org
Subject: BIND 9.2.3rc3 is now available.
Date: Wed, 17 Sep 2003 18:03:09 +1000


BIND 9.2.3rc3 is now available.

In response to high demand from our users, ISC is releasing a patch for BIND
to support the declaration of "delegation-only" zones in caching/recursive
name servers. Briefly, a zone which has been declared "delegation-only"will
be effectively limited to containing NS RRs for subdomains, but no actual
data outside its apex (for example, its SOA RR and apex NS RRset). This can
be used to filter out "wildcard" or "synthesized" data from NAT boxes or
fromauthoritative name servers whose undelegated (in-zone) data is of no
interest.

BIND 9.2.2rc2 can be downloaded from

ftp://ftp.isc.org/isc/bind9/9.2.3rc2/bind-9.2.3rc2.tar.gz

----- End forwarded message -----

et voila grin
So much code to write, so little time.

18

ouais moi je dis, super réactif BIND !! top le patch était en fait disponible déjà une dizaine d'heure maxi, apres la découverte de ce qu'avait fait verisign
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

19

Peio
: (je pense que croustx croit qu'ils ont register ttes les urls qui n'existent pas une par une)


roll


ce que je voulais dire c'est que ce doit couter chère, voila .. pov' con ...

20

sympa tes insultes ... t'a lu la charte ?

21

Ben, commence à censurer Thibaut et Peio si tu veux sévir sur ce point de la charte. roll
La manière de laquelle vous attaquez systématiquement croustx est vraiment dégueulasse.
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

22

je n'ai pas besoin que tu viennes poster apres chaque remarque que je fais a qqun sur le forum pour me dire tout le temps la même chose.
de plus c'est hors sujet alors stop

23

Je ne vois pas pourquoi la charte s'appliquerait à croustx et à moi et pas à Thibaut et à Peio...
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

24

HS si t pas content crée un topic smile

25

C'est fait depuis longtemps, mais ça n'a pas changé grand chose. roll
avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

26

KK & Microbug : merci de pas dévier le sujet.


KK : on parle pas de ce genre de choses HORS de ce forum, je trouve ca ridicule. Microbug a raison de dire qu'il faudrait que tu le crèes ici.
Microbug : oui mais non
avatar
Il n'a pas de mots
Décrire son mépris
Perdre les rênes
Il a perdu la foi

27

Kevin prefere faire ça chez lui, la ou il est sur de se faire mousser par ses brebis (qui a dit galeuses ?) cheeky
avatar

28

c'est pas toi qui le fais mousser ? trilove
*** Ne sous-estimez pas la puissance de la Marmotte ***
© Marmotte Team : LaMarmotte, sBibi, Vark & sabrina

29

avatar
Mes news pour calculatrices TI: Ti-Gen
Mes projets PC pour calculatrices TI: TIGCC, CalcForge (CalcForgeLP, Emu-TIGCC)
Mes chans IRC: #tigcc et #inspired sur irc.freequest.net (UTF-8)

Liberté, Égalité, Fraternité

30

Comme quoi, l'ICANN n'est pas si incompétent que ça...
avatar
I'm on a boat motherfucker, don't you ever forget