Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information

Liens connexes

Dépêche modérée par

Internet : VeriSign détruit l'un des fondements d'Internet

Posté par Boa Treize (page perso, ). Modéré le 17 septembre 2003.
Internet
Depuis quelques heures maintenant, VeriSign a mis en place une adresse IP joker pour les domaines .com et .net. Cela signifie en pratique qu'il n'existe plus de « nom de domaine inconnu » : tout domaine non-répertorié est résolu comme étant le serveur 64.94.110.11 de VeriSign.

Qu'est-ce que ça affecte ? Tout.

MISE À JOUR : une pétition est disponible en ligne. Vous êtes encouragés à la lire et à y participer.

> Lire la dépêche (332 commentaires, moyenne: 2,4).  

Au niveau du web, tout nom de domaine mal tapé entraîne donc maintenant l'utilisateur sur le SiteFinder de VeriSign (avec cookie, licence d'utilisation (!), et publicités) au lieu de déclencher l'affichage d'une page d'explication spécifique au navigateur.

Au niveau des courriels, tout nom de domaine mal tapé envoie donc maintenant le courriel au serveur de VeriSign, sans qu'aucune indication d'erreur ne puisse être transmise à l'utilisateur, et sans que l'on sache d'ailleurs ce qu'ils font du courriel (VeriSign est en bonnes relations avec le gouvernement américain).

Au niveau des spams, il devient inutile de tester si le domaine de l'expéditeur est valide, puisque la réponse du système DNS sera toujours positive.

Aujourd'hui est un jour particulièrement noir pour Internet. Le seul espoir est qu'une telle folie entraîne un tollé de la part de la communauté dans son ensemble (y compris Microsoft, puisque son propre service de recherche de noms de domaines est rendu inopérationnel), et que VeriSign doive faire marche arrière. En attendant, je vous suggère de rediriger toute requête vers l'adresse IP 64.94.110.11 sur l'adresse IP 127.0.0.1.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

ça va saturer non ??

Posté par Olivier BENDRIES (page perso, ) le 16/09/2003 à 15:33. (lien). Évalué à 12.

j'dis que ça ne va tarder à saturer chez verisign !

Re: VeriSign détruit l'un des fondements d'Internet

Posté par mouskouyouss () le 16/09/2003 à 15:37. (lien). Évalué à 4.

Deux documents de Verisign qui peuvent être intéressants (en anglais):
L'implementation de leur wildcard:
http://www.verisign.com/resources/gd/sitefinder/implementation.pdf(...)

et leurs recommandations
http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf(...)

bon, je ne sais pas ce que ça vaut, je ne les ai pas encore lu.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par pef () le 16/09/2003 à 15:38. (lien). Évalué à 10.

A noter qu'il existe un patch pour djbdns pour éviter ce fonctionnement :

http://tinydns.org/djbdns-1.05-ignoreip.patch(...)

Quelqu'un connait une url pour une pétition ou un truc du genre ?

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Rossel Olivier () le 16/09/2003 à 15:40. (lien). Évalué à 5.

A priori, le joker est en place pour les enregistrements DNS de type A. Pas pour les enregistrements de type MX.

Je me demande comment fonctionne un serveur SMTP.
Se base t'il sur le champ MX et rien que sur le champ MX pour decider ou relayer des mails?

Il me semble qu'une adresse d'envoi de type xxx@foo.bar
envoyait directement a la machine foo.bar si elle existe, meme si son champ MX pointe vers ailleurs.
Dans ce cas, le serveur SMTP n'a t'il pas fait une resolution de type A au lieu de faire une resolution de type MX.

Toute explication (courte et claire) d'un guru est bienvenue.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par N-Mi () le 16/09/2003 à 15:41. (lien). Évalué à 2.

Je viens d'essayer d'aller sur http://www.fzaufvuyazvfuyazu.com(...) , et Mozilla me dit qu'il n'arrive pas à se connecter à ce site. On dirait que c'est déjà saturé...

QUEUE FER

Posté par Annah C. Hue (page perso, ) le 16/09/2003 à 15:42. (lien). Évalué à 14.

Leur adresse 64.94.110.11 risque de changer facilement, donc pour l'instant null-router ça n'est qu'un pis aller.

Bon, le problème est que ce sont les cons qui ont pris le contrôle des noms de domaines. Un nom de domaine n'est qu'une pauvre entrée dans un base de donnée, c'est rien de plus, mais les avocaillons à la recherche du profit maximum tentent de légiférer sur tout ce qui marche sans eux, ce qui a pour effet de rendre payant un truc qui était gratuit avant.

Il est donc peut-être temps de quitter ces gros voleurs de l'icann, et d'aller voir des root dns moins voleurs qu'eux, comme http://www.opennic.unrated.net/(...) qui semble avoir une gestion démocratique, pas comme ces sales escrocs désignés par l'état américain pour espionner le net.

Si quelqu'un a des retours d'expériences sur ces espaces de noms alternatifs, ça m'intéresse.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Sébastien Koechlin () le 16/09/2003 à 15:43. (lien). Évalué à 18.

Pour le courrier, il y a une petite nuance. Il y a visiblement un faux serveur de mail sur cette machine qui réponds que l'utilisateur n'existe pas, enfin, qui semble avoir été conçu pour répondre cela :

$ telnet 64.94.110.11 smtp
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby1-wceast Snubby Mail Rejector Daemon v1.3 ready
HELO plop.org
250 OK
MAIL From: <test@plop.org>
250 OK
RCPT To: <postmaster@somenowhere.com>
550 User domain does not exist.
221 snubby1-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel
Connection closed by foreign host.
$
Le serveur s'appelle "Mail Rejector Daemon" et il me dit que l'email n'existe pas. Le problème, c'est que visiblement ce robot est TRES TRES bête :
$ telnet 64.94.110.11 smtp
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby1-wceast Snubby Mail Rejector Daemon v1.3 ready
Plop
250 OK
Coin
250 OK
PAN!
550 User domain does not exist.
Zut
250 OK
\_o<
221 snubby1-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel
Connection closed by foreign host.
En fait, il se contente de répondre "250 OK" aux deux premières questions, qui sont normalement HELO et MAIL From, et "550" à la suivante.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Ju. (Jabber id, ) le 16/09/2003 à 15:46. (lien). Évalué à 6.

L'analyse de NetEconomie : (VF)
http://www.neteconomie.com/perl/navig.pl/neteconomie/infos/article/(...)

La news Yahoo : (VO)
http://story.news.yahoo.com/news?tmpl=story&u=/washpost/2003091(...)

Et pour eviter les redites :
http://linuxfr.org/~inside/5384.html(...)

--
Les fans de Ubuntu et leurs CD, c'est comme les Mormons avec leur évangile, ils en ont toujours sur eux à donner, au cas où.
Zorro.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par _alex () le 16/09/2003 à 15:46. (lien). Évalué à 8.

Ce qui est aggaçant : même si au bout d'une semaine ils font machine arrière, ils ont des logs d'une semaine surtout les noms de domaines non existant demandés, sur une quantité de refer, et cookie collosalle. Et qu'importe si leurs serveurs sont saturés....
Et je pense que ça vaut son pesant d'or ce genre d'information....

C'est l'idée (peut être fausse) que je m'en fait (je n'ai pas lu leurs doc)

Re: VeriSign détruit l'un des fondements d'Internet

Posté par pef () le 16/09/2003 à 15:47. (lien). Évalué à 9.

En vous trompant dans une url, n'oubliez pas que cela vous vaut l'acceptation de la license de la page Verisign :

http://sitefinder.verisign.com/terms.jsp(...)


En plus ils sont super sympa, morceaux choisis :


The VeriSign Services complement our DNS resolution service and provide information that may prove useful to you in locating the resources you originally intended to access


"Ce service complète la résolution d'url et vous donne des infos (liens commerciaux ?) vers les informations que vous tentiez d'obtenir.


If you want to make commercial use of the VeriSign Services, you must enter into an agreement with us to do so in advance.


En gros ils disent que si vous voulez mettre de la pub il faut les contacter ?


The VeriSign Service may automatically display categories and links to other third party web sites.


Là je crois que c'est clair, des liens commerciaux.

J'oubliais de relever où il est dit qu'en utilisant la page vous acceptez d'office les conditions :


By using the service(s) provided by VeriSign under these Terms of Use, you acknowledge that you have read and agree to be bound by all terms and conditions here in and documents incorporated by reference


Eh bin, ca promet.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par pef () le 16/09/2003 à 15:49. (lien). Évalué à 1.

N'est-il pas plus intéressant de renvoyer un ICMP Host Unreachable pour une demande vers cette IP plutôt que de la null router / rediriger vers 127.0.0.1 ?

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Aurélien Girard () le 16/09/2003 à 15:49. (lien). Évalué à 2.

J'ai beau lire et relire la news, je ne comprend toujours pas quel est le problème.
Quelqu'un aurait-il l'aimabilité de tenter de me l'expliquer ?