jeudi 10 avril

Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Astuces :: Suivi :: RDF

Articles précédents : Internet

Liens connexes

Exemple (11461 hits)
/. (2892 hits)
Le mail de VeriSign (3470 hits)
L'analyse de NetEconomie (5207 hits)
La pétition en ligne (4174 hits)
Contournements du problème (dont un patch de l'ISC qui apporte une solution propre) (2302 hits)

Dépêche modérée par

Internet : VeriSign détruit l'un des fondements d'Internet

Posté par Boa Treize (page perso, ). Modéré le 17 septembre 2003.

Depuis quelques heures maintenant, VeriSign a mis en place une adresse IP joker pour les domaines .com et .net. Cela signifie en pratique qu'il n'existe plus de « nom de domaine inconnu » : tout domaine non-répertorié est résolu comme étant le serveur 64.94.110.11 de VeriSign.

Qu'est-ce que ça affecte ? Tout.

MISE À JOUR : une pétition est disponible en ligne. Vous êtes encouragés à la lire et à y participer.

Exemple (11461 hits)
/. (2892 hits)
Le mail de VeriSign (3470 hits)
L'analyse de NetEconomie (5207 hits)
La pétition en ligne (4174 hits)
Contournements du problème (dont un patch de l'ISC qui apporte une solution propre) (2302 hits)

> Lire la dépêche (332 commentaires, moyenne: 2,4).

Au niveau du web, tout nom de domaine mal tapé entraîne donc maintenant l'utilisateur sur le SiteFinder de VeriSign (avec cookie, licence d'utilisation (!), et publicités) au lieu de déclencher l'affichage d'une page d'explication spécifique au navigateur.

Au niveau des courriels, tout nom de domaine mal tapé envoie donc maintenant le courriel au serveur de VeriSign, sans qu'aucune indication d'erreur ne puisse être transmise à l'utilisateur, et sans que l'on sache d'ailleurs ce qu'ils font du courriel (VeriSign est en bonnes relations avec le gouvernement américain).

Au niveau des spams, il devient inutile de tester si le domaine de l'expéditeur est valide, puisque la réponse du système DNS sera toujours positive.

Aujourd'hui est un jour particulièrement noir pour Internet. Le seul espoir est qu'une telle folie entraîne un tollé de la part de la communauté dans son ensemble (y compris Microsoft, puisque son propre service de recherche de noms de domaines est rendu inopérationnel), et que VeriSign doive faire marche arrière. En attendant, je vous suggère de rediriger toute requête vers l'adresse IP 64.94.110.11 sur l'adresse IP 127.0.0.1.

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

ça va saturer non ??

Posté par Olivier BENDRIES (page perso, ) le 16/09/2003 à 15:33. (lien). Évalué à 12.

j'dis que ça ne va tarder à saturer chez verisign !

[^]Re: ça va saturer non ??

Posté par Loic Jaquemet (page perso, ) le 16/09/2003 à 15:37. (lien). Évalué à 4.
gagné .
- [^]Re: ça va saturer non ??
  
  Posté par ramzez () le 16/09/2003 à 15:54. (lien). Évalué à 5.
  ce qui n'enleve rien au fait qu'on n'a pas le unknow host qu'on devrait avoir quand on se trompe (on a un timeout)
  donc le problème reste entier pour nous
  je me demande ce qui a bien pu passer par la tete des gens qui ont décidé ça !
  - [^]Re: ça va saturer non ??
    
    Posté par Sébastien Koechlin () le 16/09/2003 à 15:58. (lien). Évalué à 11.
    Ca tiens en un caractère : $
    - [^]Re: ça va saturer non ??
      
      Posté par ramzez () le 16/09/2003 à 16:12. (lien). Évalué à 3.
      bah justement, je trouve bizarre qu'il n'y est pas dans leur rang quelqu'un de censer pour leur expliquer que de toute façon leurs serveurs ne tiendront jamais la charge ...
      donc là les dollars, sur ce coup ...
      - [^]Re: ça va saturer non ??
        
        Posté par Stéphane Graber (page perso, ) le 16/09/2003 à 16:48. (lien). Évalué à 4.
        Je viens d'essayer en entrant une adresse bidon en .com
        Resultat : l'ip est bien 64.94.110.11 mais absolument aucune réponse de leur serveur.
        Est-il déjà saturé ?
        Ce cerait vraiment commique que leur serveur lache le premier jour :)
        
        [^]Re: ça va saturer non ??
        
        Posté par Emilien Kia (Jabber id, page perso, ) le 16/09/2003 à 16:53. (lien). Évalué à 1.
        ha toi aussi ? :)
        
        --
        Qu'est-ce qui est petit, rond et vert, qui monte et qui descend ?
        Yoda qui fait le con avec la force.
      - [^]Re: ça va saturer non ??
        
        Posté par Virgile () le 17/09/2003 à 07:33. (lien). Évalué à 7.
        Voilà ce qui arrive quand on confie la gestion d'intérêt publiques ou communs à des entreprises privées et non à des structures ou organisation moisn "interessées" ...
        Pauvre monde :/
        
        [^]Re: ça va saturer non ??
        
        Posté par Jul (page perso, ) le 17/09/2003 à 08:14. (lien). Évalué à 9.
        C'est l'ICANN qui leur a déléguer leur patente. Ils ont failli la retirer, mais le gouvernement des US à fait pression sur l'ICANN (dont le statut est une association à but non lucratif de droit californien) pour qu'ils ne déshéritent pas un fleuron de l'industrie US. Il s'agissait d'un classique chantage à l'emploi. Je suis assez pessimiste quand aux réactions de l'ICANN. Je crois qu'ils vont laisser pisser une fois de plus.
        
        Verisign spammeur et arracheur de dent : http://libroscope.org/article.php3?id_article=6(...)
        
        Verisign infoutu de remplir une base whois : http://libroscope.org/article.php3?id_article=24(...)
        
        Il faut aussi se reposer une fois de plus la question de l'impartialité des institutions qui gouvernent internet, et de leur indépendance vis à vis des gouvernements.
  - [^]Re: ça va saturer non ??
    
    Posté par N-Mi () le 16/09/2003 à 15:58. (lien). Évalué à 7.
    Tu te rends compte du pognon qu'il y a à se faire?
    
    Imagine que toutes les personnes dans le monde rentrant une adresse éronnée tombent sur une page affichant une bannière de pub, combien de millions serait prêt à payer un annonceur qui veut toucher le plus de monde possible?
    - [^]Re: ça va saturer non ??
      
      Posté par ramzez () le 16/09/2003 à 16:14. (lien). Évalué à 1.
      je m'en rends compte, je m'interrogeais juste sur leur manque de prévoyance quant à la charge nécessaire ... enfin ils font peut-être une démo aux annonceurs interessé, en attendant les-dis sous-sous leur permettant de monter des serveurs qui tiennent la route ... c'est possible
    - [^]Re: ça va saturer non ??
      
      Posté par Pooly (page perso, ) le 16/09/2003 à 20:33. (lien). Évalué à 2.
      Et pense à celui qui arriveras à leur fournir un serveur qui tiennent la charge....
      non, sérieusement, c'est pitoyable leur attitude.
      
      --
      W-Fenec : Webzine rock/métal/indus
  - [^]Re: ça va saturer non ??
    
    Posté par PasChauve PasOunet () le 16/09/2003 à 16:03. (lien). Évalué à 5.
    http://story.news.yahoo.com/news?tmpl=story&u=/washpost/2003091(...)
    
    VeriSign's Site Finder could easily generate more than $100 million a year in profits for the VeriSign, according to Mark Lewyn, the chairman of Reston,
    - [^]Re: ça va saturer non ??
      
      Posté par Olivier BENDRIES (page perso, ) le 16/09/2003 à 17:14. (lien). Évalué à 8.
      Je crois qu'avec cette petite somme ya dequoi acheter quelques S390 pour enquilleraient tout le "tarif reseau d'erreurs " et afficher quelques .swf de pubs... et encore p'être juste quelques .gifs.
      
      Plus serieusement, je vois un pb parmi d'autre:
      Je redirige mes mails vers mon DNS dynamique. à chaque coupure IP, la mise à jour prendre facile 5mins. Ya encore quelques heures, je me fouttai de ces 5mins de coupures puisque mes mails tournaient sur le reseau le temps de d'arriver. Mais Là !! Les mails qui pourraient arriver durant les "pannes DNS" comme nous en avons tous serons relayaient directement par Verisign ! Merci la confiance !!
      
      Ils fouttent en l'air une parti du protocol de transfert des mails !
      Et je ne regarde que mon petit nombril.... mais j'imagine que c'est le même pb avec tout les besoins spéfi sur chaque protocoles de tous un chacun !!
      - [^]Re: ça va saturer non ??
        
        Posté par Boa Treize (page perso, ) le 16/09/2003 à 17:24. (lien). Évalué à 1.
        En fait, ils seront rejetés avec une erreur "550 Nom de domaine inexistant". Ce qui est sûr, c'est qu'ils ne tourneront plus en rond en attendant que la mise à jour se fasse.
        
        [^]Re: ça va saturer non ??
        
        Posté par gnap gnap (page perso, ) le 16/09/2003 à 17:29. (lien). Évalué à 2.
        Ils seront rejeté mais peut-être aussi copiés et analysés...
        
        [^]Re: ça va saturer non ??
        
        Posté par Boa Treize (page perso, ) le 16/09/2003 à 17:36. (lien). Évalué à 0.
        Pour l'instant, non : les mails sont rejetés. Mais ils peuvent tout à fait garder une copie de l'adresse de l'expéditeur et du destinataire, ou bien sûr, mettre un vrai serveur mail ultérieurement (enfin là, au niveau légal, ce serait du suicide).
        
        [^]Re: ça va saturer non ??
        
        Posté par MrTout (page perso, ) le 16/09/2003 à 17:44. (lien). Évalué à 0.
        Pourquoi « pour l'instant non » ?
        
        [^]Re: ça va saturer non ??
        
        Posté par Boa Treize (page perso, ) le 17/09/2003 à 09:04. (lien). Évalué à 4.
        Parce que je suis allé faire un tour sur leur serveur de mail pour voir comment il fonctionne et que pour l'instant (c'est à dire à l'heure actuelle d'aujourd'hui, au moment où je fais mes tests) il prend les trois premiers messages du client (c'est à dire, pour un client standard, le HELO, le FROM et le RCPT) et ensuite il renvoie un message d'erreur. Donc il ne récupère rien du mail lui-même (ni les en-têtes, ni le corps). Et je dis bien pour l'instant car comme les machines appartiennent à VeriSign, ils peuvent changer à tout moment le serveur de mail qui tourne dessus et se mettre à accepter des messages quand ils en ont envie.
        
        [^]Re: ça va saturer non ??
        
        Posté par Julien (Jabber id, page perso, ) le 17/09/2003 à 09:21. (lien). Évalué à 5.
        Le from sufit aux spammeurs...
        
        [^]Re: ça va saturer non ??
        
        Posté par Arnaud (page perso, ) le 17/09/2003 à 17:35. (lien). Évalué à 2.
        Oui, le FROM suffit. Et puis de toute façon, le TO est inutilisable, puisque le domaine est invalide (puisqu'on tombe sur la bécane de verisign).
        
        [^]Re: ça va saturer non ??
        
        Posté par vsin () le 18/09/2003 à 09:48. (lien). Évalué à 0.
        Du suicide ?
        
        Pour eux, c'est pas un probleme. Quand on voit l'hypocrisie generale.... On a bien donne le prix Nobel de la paix a Arafat et Kissinger.
        
        Si l'imbecilite tuait, ca se saurait....
        
        Vsin
        
        [^]Re: ça va saturer non ??
        
        Posté par Benoît Déchamps (page perso, ) le 16/09/2003 à 17:49. (lien). Évalué à 3.
        Si ce n'est pas un .com ou un .net (comme dyndns.org par exemple) ça devrai continuer à fonctionner comme avant non ?
        
        [^]Re: ça va saturer non ??
        
        Posté par Olivier BENDRIES (page perso, ) le 16/09/2003 à 19:37. (lien). Évalué à 2.
        ouais.. petite consolation:
        Si je passe de mondns.no-ip.com à mondns.no-ip.org je serai pas emmerder !!
        
        petite haine:
        mondns.no-ip.org a déjà été reserver par qqu'un... il va falloir trouver autrechose =(
        
        Quelle bande dem* chez verisign !!
        Et au fait !! ça en est où pour les serveurs de caches DNS des provideurs ? ça n'a pas encore laché ?¿?
        
        [^]Re: ça va saturer non ??
        
        Posté par Philippe SOHM (page perso, ) le 17/09/2003 à 07:54. (lien). Évalué à 0.
        ben non
        c'est seulement les noms de domaine non achetés qui seront redirigés
        
        [^]Re: ça va saturer non ??
        
        Posté par Benoît Sibaud (Jabber id, page perso, ) le 17/09/2003 à 15:00. (lien). Évalué à 1.
        Non ça concerne aussi ceux qui sont achetés et non utilisés (sans entrée DNS pour être précis) et ceux qui sont en cours d'achat.
        
        [^]Re: ça va saturer non ??
        
        Posté par nakan (page perso, ) le 17/09/2003 à 11:40. (lien). Évalué à 1.
        Non, à mon avis, tes mails vont être dirigés vers l'ancienne adresse IP. Comme elle n'existe pas, il vont attendre une IP valide, et arriver sur ton serveur lors de la mise à jour DNS. Je pense pas que VeriSign les auras...
        
        --
        Au pays des pingouins, les manchots sont empereurs.
      - [^]Re: ça va saturer non ??
        
        Posté par farib () le 16/09/2003 à 17:25. (lien). Évalué à 4.
        bah non, le nom est réel et associé à une ip !
      - [^]Re: ça va saturer non ??
        
        Posté par MeiK (page perso, ) le 16/09/2003 à 20:27. (lien). Évalué à 2.
        Hmm si par exemple t'es chez wanadoo et t'as un truc de dyndns, le mail sera routé donc sur ton ancienne ip qui n'appartient pas a verisign, non ? il y a des chances que cette ancienne ip que t'avais soit meme reprise dans les 5 minutes (on sait jamais) par un autre gars. Bon là je parle pour les particuiers en effet...dites moi si je me trompe.
        
        --
        http://afturgurluk.org/~meik
        
        [^]Re: ça va saturer non ??
        
        Posté par Mr F (page perso, ) le 16/09/2003 à 21:44. (lien). Évalué à 4.
        Tu ne te trompe pas, dans son cas le mail sera envoyé soit a une adresse ip qui ne ping pas, soit une adresse qui n'a pas de serveur mail, soit une adresse qui refuse les mails du domaine, soit un serveur qui les acceptent tous (ça peut arriver), mais rien ne passera chez Verisign.
      - [^]Re: ça va saturer non ??
        
        Posté par C2RIK (page perso, ) le 17/09/2003 à 03:22. (lien). Évalué à 5.
        En fait ça ne change rien pour toi.
        Par exemple si ton fournisseur d'IP dynamique est no-ip.com (je prends cet exemple car il est en .com), la requete sur le DNS de verisign renverra toujours sur le DNS de no-ip.com qui aura toujours dans sa base la dernière IP que tu as enregistrée.
        La couillonade de verisign ne marche que sur les domaines en .com et .net non enregistrés comme verisignsucksgoats.com.
        
        Bon, j'espère avoir été assez clair je vais me coucher...
        
        [^]Re: ça va saturer non ??
        
        Posté par Olivier BENDRIES (page perso, ) le 17/09/2003 à 06:17. (lien). Évalué à 3.
        exact !! très lucide à 5h30 du mat !! effectivement:
        
        - le temps d'un changement d'Ip, la resolution dns se fait toujours (mondns.no-ip.com --> ma.recente.ancienne.adresse ), ma machine est juste injoinable. (j'ai l'habitude !!)
        
        - la récuperation des erreurs faite par verisign ne peut pas s'appliquer dans le cas d'une erreur de frappe ou de timeout "mondomaineperso.no-ip.com" puisque no-ip à déjà mis en place un wildcard pour ses domaines. et ça doit être le cas pour les autres services de dns dynamique.
        
        - et un truc à part: Le moteur de recherche Msn qui exploitait ~ le même principe pourra toujours fournir ses services pour les adresses en *.org ou en *.info. ça pourrai même continuer a nous faire un peu de pub (linusfr.org sous IE ça redirige ici , non ?¿?) Sympa !!

[^]Re: ça va saturer non ??

Posté par Nicolas Melay () le 16/09/2003 à 15:39. (lien). Évalué à 3.
Ah, je commence à mieux comprendre nos problèmes de DNS de tout à l'heure. :P

Oui je relayais tout et n'importe quoi vers Internet, honte à moi...

Re: VeriSign détruit l'un des fondements d'Internet

Posté par mouskouyouss () le 16/09/2003 à 15:37. (lien). Évalué à 4.

Deux documents de Verisign qui peuvent être intéressants (en anglais):
L'implementation de leur wildcard:
http://www.verisign.com/resources/gd/sitefinder/implementation.pdf(...)

et leurs recommandations
http://www.verisign.com/resources/gd/sitefinder/bestpractices.pdf(...)

bon, je ne sais pas ce que ça vaut, je ne les ai pas encore lu.

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par mouskouyouss () le 16/09/2003 à 15:42. (lien). Évalué à 1.
ah désolé, mais le mail de verisign les mentionne déjà.
Je ne l'avais pas vu.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par pef () le 16/09/2003 à 15:38. (lien). Évalué à 10.

A noter qu'il existe un patch pour djbdns pour éviter ce fonctionnement :

http://tinydns.org/djbdns-1.05-ignoreip.patch(...)

Quelqu'un connait une url pour une pétition ou un truc du genre ?

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par daggett () le 16/09/2003 à 15:48. (lien). Évalué à 6.
Quelqu'un connait une url pour une pétition ou un truc du genre ?
A priori tu tapes n'importe quelle url, et tu devrais atterir à une page où tu peux exprimer ton mécontentement ;)
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Da Scritch (page perso, ) le 16/09/2003 à 18:53. (lien). Évalué à 4.
  while true ; do curl -A "suckers" http://verisignwildcard.112.2O7.net/b/ss/verisignwildcard/1/G.2-Xpd(...) ; echo -n '.' ; done
  
  cette image sert à des fins satistiques dans leur page. si tout le monde lance la même requète (si possible en IP non fixée), cela va leur fausser leurs stats. Et peut être leur faire comprendre leu connerie
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    Posté par Yann Forget (page perso, ) le 16/09/2003 à 21:25. (lien). Évalué à 5.
```
#!/bin/bash

# Version 0.01
# Licence GPL
unset http_proxy;
verisign="http://verisignwildcard.112.2O7.net/b/ss/verisignwildcard/1/G.2-Xpd(...)";

dosv() {
    /bin/su - login -c " \
    while true ;
        do
            curl -A 'suckers' $verisign ;
            echo -n '.' ;
        done"
    }

case "$1" in
  start)
    dosv #&
        ;;

  stop)
    /usr/bin/killall curl
    ;;

  reload|restart|force-reload)
    $0 stop
    $0 start
    ;;

  *)
    echo "Usage: $0 {start|stop|restart|force-reload}" >&2
    exit 1
    ;;
esac

exit 0
```
    - [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par Olivier BENDRIES (page perso, ) le 16/09/2003 à 21:56. (lien). Évalué à 1.
      ça tourne, enfin ça " . . . . . . . . . . . . . . . . . . . . . . . . . . "
      Quelle est la finalité exacte ? tu fausse les stats d'un des DNS de Verisign via le download en continu d'un gif caché ?¿?
      - [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par Da Scritch (page perso, ) le 16/09/2003 à 22:38. (lien). Évalué à 5.
        Fausser complètement les statistiques navigateurs (marche mieux si 'est lancé d'une ip dynamique, ou derrière un très gros proxy). Et donc par la même, créer un faux "engouement" pour leur page.
        À l'avenir, faire un max de hits dans les pubs (avec un wget -l 2), histoire de faire crâcher un maximum les publicitaires clients avec un retour sur investissement ridicule, pour mieux mettre à l'amende. C'est complètement terroriste, mais bon. "Suckers" est à double sens ;)
        
        Pourquoi cette url précisément ? Tout simplement parce qu'elle est présente dans la page comme image invisible, donc compteur de statistique.
        Mais je ne suis pas sûr de mon code : il se base sur la partie non-javascript. Si un furieux est capable d'analyse ce que fait exactement le javascript, pour voir s'il n'y a pas d'autre image de ce genre, nous sommes preneur.
        
        Bravo à Yann Forget pour sa mise au carré. Excellent !
        
        Communiquez un max !
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par choocroot () le 17/09/2003 à 10:22. (lien). Évalué à 7.
        Heu je connais pas bien curl mais l'URL que tu donnes renvoie un «302 Redirect», donc si tu ne fetches pas la nouvelle `Location:' ça sert a rien.
        
        Sinon, il est preferable, si on est administrateur et que l'on est responsable du DNS/reseaux, de mettre à jour son serveur DNS patché pour renvoyer NXDOMAIN aux requêtes qui donneraient `64.94.110.11' comme réponse.
        
        L'ISC (http://www.isc.org(...))(qui édite Bind) est en train de plancher sur le problème. Un patch officiel devrait sortir bientôt (s'il n'est pas déjà sortie). L'idée (corriger moi si c'est faux) qu'il auraient retenus n'est pas de «banir» sur l'IP, mais plutôt de faire qu'un résultat de type `A' de la part d'un serveur root DNS ne soit pas pris en compte. En gros les serveurs root DNS ne doivent faire que de la délégation, et ne pas stocker/diffuser des IP de nom de machines complètes.
        
        Je viens de verifier sur leur site, et il y a une version «BIND Version 9.2.3rc2» beta toute fraiche qui semble contenir un fix de ce genre :
        - http://marc.theaimsgroup.com/?l=bind9-users&m=106378710318706&a(...)
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par vazco () le 17/09/2003 à 11:46. (lien). Évalué à 9.
        
        Un patch officiel devrait sortir bientôt (s'il n'est pas déjà sortie). L'idée (corriger moi si c'est faux) qu'il auraient retenus n'est pas de «banir» sur l'IP, mais plutôt de faire qu'un résultat de type `A' de la part d'un serveur root DNS ne soit pas pris en compte. En gros les serveurs root DNS ne doivent faire que de la délégation, et ne pas stocker/diffuser des IP de nom de machines complètes.
        
        Voilà une solution élégante !
        
        Ça obligera juste tous les administrateurs de DNS à patcher ou à mettre à jour pour retrouver un comportement normal. Merci qui ?
        
        Moralité de l'histoire :
        - des super décideurs ont inventé un super moyen de se faire super plus de pognon (peut-être) ;
        - le super moyen fait chier tout le monde mais yzenonrienapaitai ;
        - tout le monde cherche un moyen de passer outre le super moyen ;
        - trouve ;
        - la situation redevient comme avant sauf que tout le monde a perdu du temps et est énervé.
        
        Ça doit être ce qu'on appelle en décidien « une situation win-win ».
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par maston28 (page perso, ) le 17/09/2003 à 12:48. (lien). Évalué à 2.
        une ou deux idées...
        - gspoof qui envoie des paquets et des paquets sans délai...ca marche mais ca viande la connection, à utiliser la nuit :)
        - while true ; do wget --delete-after http://$(head(...) /dev/random | md5sum | cut -f1 -d " ").com ; done (merci fred)
        - while true; do
        wget --delete-after http://verisign-suckers.com(...) &
        sleep 1
        killall wget
        done # (merci scriptfanix...)
        
        and so on...

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par chooops () le 20/09/2003 à 20:43. (lien). Évalué à 1.
Quelqu'un connait une url pour une pétition ou un truc du genre ?
http://www.petitiononline.com/icanndns/petition.html(...)

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Rossel Olivier () le 16/09/2003 à 15:40. (lien). Évalué à 5.

A priori, le joker est en place pour les enregistrements DNS de type A. Pas pour les enregistrements de type MX.

Je me demande comment fonctionne un serveur SMTP.
Se base t'il sur le champ MX et rien que sur le champ MX pour decider ou relayer des mails?

Il me semble qu'une adresse d'envoi de type xxx@foo.bar
envoyait directement a la machine foo.bar si elle existe, meme si son champ MX pointe vers ailleurs.
Dans ce cas, le serveur SMTP n'a t'il pas fait une resolution de type A au lieu de faire une resolution de type MX.

Toute explication (courte et claire) d'un guru est bienvenue.

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par PasChauve PasOunet () le 16/09/2003 à 15:43. (lien). Évalué à 9.
la rfc est tres claire la dessus c est A ou MX , cf le probleme avec wanadoo : http://linuxfr.org/2003/03/14/11695.html(...)

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Obsidian () le 16/09/2003 à 15:44. (lien). Évalué à 5.
Egalement, toute explication (courte et claire) d'un utilisateur éclairé sur la signification des type A et MX sera fort bien reçue.

Désolé pour cette question de débutant (a priori), mon domaine de prédilection est tout autre.
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Rossel Olivier () le 16/09/2003 à 15:52. (lien). Évalué à 8.
  Lors d'une requete DNS, on peut demander:
  la valeur du champ A lors d'une resolution classique 'quelle IP pour le nom foo.bar'
  ou
  la valeur du champ MX lors d'une resolution 'quel serveur de mail pour le nom foo.bar'.
  
  C'est assez court?
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par Benoît Bailleux (Jabber id, ) le 17/09/2003 à 05:47. (lien). Évalué à 2.
    Oh oui, c'est assez court et clair (pour moi, pauvre béotien).
    Et je suppose que
    - A = Address
    et
    - MX = Mail Exchanger
    
    Merci Google Glossary (http://labs.google.com/glossary(...))
    
    --
    BB
    - [^]
      
      Posté par Francois Revol (page perso, ) le 17/09/2003 à 13:27. (lien). Évalué à 2.
      béotien comme dans BeOS ?
      \o/ je suis pas seul dans l'univers \o/
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par PasChauve PasOunet () le 16/09/2003 à 15:55. (lien). Évalué à 4.
  en gros pour faire simple , toto.domaine.tld est associé a un A ( une ip ) ou un CNAME ( une "redirection" ) , la zone qui gere toto.domaine.tld peut aussi avoir un MX , le champs MX renseigne qui accepte les mails pour toto.domaine.tld ( tu peux le savoir en faisant host -t MX toto.domaine.tld ) , ca sert si par exmple tu veux deleguer la gestion des mails sur une autre machine . Ce champ MX n est pas obligatoire , c est pour ca que dans la rfc2821 qui concerne les smtps ou serveurs de mail (http://www.faqs.org/rfcs/rfc2821.html(...)) , il est clairement expliqué ( 3.6 Domains ) que les mails doivent accepter les mails venant d un domaine repondant a un A ou un MX .
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Wajsberg Julien () le 16/09/2003 à 17:40. (lien). Évalué à 1.
  Lorsque tu envoies un mail a pif@gadget.com, ton serveur de mail doit savoir à quel serveur envoyer ce mail, donc quel serveur accepte les mails pour le domaine gadget.com.
  
  Si une entrée MX existe pour ce domaine, c'est l'ip/hostname associé à ce MX qui est utilisé.
  Sinon, c'est l'entrée A.
  Sinon c'est host not found :)
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par Boa Treize (page perso, ) le 16/09/2003 à 17:55. (lien). Évalué à 3.
    sauf que maintenant, il n'y a plus de « host not found » pour les .com et les .net.
    - [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par William Steve Applegate (page perso, ) le 17/09/2003 à 13:30. (lien). Évalué à 1.
      Pour les .com/.net _qui n'ont pas de serveurs de noms déclarés_. Pour ceux qui ont des NS (et pas de wildcard, ha ha ha) le "host not found" peut toujours arriver. Mais ça n'en reste pas moins une décision débile, j'en conviens parfaitement.
      
      --
      Ce message vous a été présenté par les trollomètres de compétition Prumpleffer™
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par PasChauve PasOunet () le 16/09/2003 à 19:43. (lien). Évalué à 1.
    sauf que la tu confonds ce dont on parle : c est entrée de serveur que le check du domaine est fait pas en sortie
    - [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par Wajsberg Julien () le 17/09/2003 à 10:05. (lien). Évalué à 1.
      oui mais non
      je répondais juste à la question du gars qui demandait ce qu'étaient les types MX et A... et je pense que ma réponse convenait, non ? :) (sachant que ce dont tu parles avait déjà été dit, j'allais pas le répéter)

Re: VeriSign détruit l'un des fondements d'Internet

Posté par N-Mi () le 16/09/2003 à 15:41. (lien). Évalué à 2.

Je viens d'essayer d'aller sur http://www.fzaufvuyazvfuyazu.com(...) , et Mozilla me dit qu'il n'arrive pas à se connecter à ce site. On dirait que c'est déjà saturé...

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par mathic () le 16/09/2003 à 16:51. (lien). Évalué à 1.
c'est marrant, on tape n'importe quoi, et on tombe sur leur serveur...
Mais comment elle peut tenir cette machine ??
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Stéphane Graber (page perso, ) le 16/09/2003 à 17:13. (lien). Évalué à 2.
  Elle tien pas :)
  - [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par j () le 16/09/2003 à 18:34. (lien). Évalué à -3.
    C'est normal elle tourne avec Apache.
    
    Ils ont du pognon, ils auraient au moins pu acheter Zeus pour tenir la charge.
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par RB () le 17/09/2003 à 02:25. (lien). Évalué à 6.
  comment y tient google ? comment y tient yahoo ? comment y tient microsoft ? comment y tient slashdot ?
  
  iC'est tout simplement IN-CRO-YA-BLE !
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par Blackknight () le 17/09/2003 à 08:20. (lien). Évalué à 2.
    Yahoo runs FreeBSD ;-)
  - [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par Blackknight () le 17/09/2003 à 08:49. (lien). Évalué à -1.
    Yahoo runs FreeBSD
    - [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par Blackknight () le 17/09/2003 à 08:50. (lien). Évalué à -1.
      P....n de cache de m...e, v'la que je cause en double

QUEUE FER

Posté par Annah C. Hue (page perso, ) le 16/09/2003 à 15:42. (lien). Évalué à 14.

Leur adresse 64.94.110.11 risque de changer facilement, donc pour l'instant null-router ça n'est qu'un pis aller.

Bon, le problème est que ce sont les cons qui ont pris le contrôle des noms de domaines. Un nom de domaine n'est qu'une pauvre entrée dans un base de donnée, c'est rien de plus, mais les avocaillons à la recherche du profit maximum tentent de légiférer sur tout ce qui marche sans eux, ce qui a pour effet de rendre payant un truc qui était gratuit avant.

Il est donc peut-être temps de quitter ces gros voleurs de l'icann, et d'aller voir des root dns moins voleurs qu'eux, comme http://www.opennic.unrated.net/(...) qui semble avoir une gestion démocratique, pas comme ces sales escrocs désignés par l'état américain pour espionner le net.

Si quelqu'un a des retours d'expériences sur ces espaces de noms alternatifs, ça m'intéresse.

[^]Re: QUEUE FER

Posté par ramzez () le 16/09/2003 à 16:11. (lien). Évalué à 1.
lien mort pour moi :/ (timeout mais le domaine est connu ...tiens donc ...)
- [^]Lien actif.
  
  Posté par Rafael Pinilla () le 16/09/2003 à 18:50. (lien). Évalué à 2.
  Voici l'adresse équivalente du cache google:
  http://216.239.59.104/search?q=cache:3R0VLSZnRTYJ:www.opennic.unrat(...)
  
  Le site est même assez rapide.

[^]Re: QUEUE FER

Posté par Code34 (page perso, ) le 16/09/2003 à 18:10. (lien). Évalué à 2.
Les dns de opennic fonctionnent bien mais ça ne fait que diminuer les problemes car ils n'ont pas autorité sur les .com .

En gros, si tu tappes www.letartenpion.com ou autres friandises, les dns de opennic te renvoient sur verigsign ;(
- [^]Re: QUEUE FER
  
  Posté par Code34 (page perso, ) le 16/09/2003 à 18:22. (lien). Évalué à 1.
  J'ai oublié de preciser que par contre si tu rentres une url avec un tlb bidon du genre:
  
  http://www.monurl.bid(...)
  
  ça te renvoit un could not be found, le comportement du dns redevient donc normal ;)
  
  Pour ceux qui veulent essayer dans /etc/resolv.conf:
  
  nameserver 62.236.208.158
  nameserver 213.185.37.13
  - [^]Re: QUEUE FER
    
    Posté par gebura () le 17/09/2003 à 17:10. (lien). Évalué à 1.
    c est simpa mais bon si toutes mes requettes dns doivents traverser l attlantique avant d aboutir...

[^]Re: QUEUE FER

Posté par _seb_ () le 17/09/2003 à 09:45. (lien). Évalué à 1.
Heu ça marche vraiment ses serveurs roots de remplacement ?

Comment font il pour detecter de nouveaux domains ? A qui ils demandent puisque c'est l'ICANN qui les gère.

Ils font une requete DNS sur les serveurs roots pour verifier que le domain exite :)
- [^]Re: QUEUE FER
  
  Posté par Matthieu BENOIST () le 17/09/2003 à 15:55. (lien). Évalué à 1.
  n'en, c'est un jocker, $.com.
  Il peut tout à fait y avoir des URL acheté non trouvée, suffit qu'elle ne soit présente dans aucun DNS. Du coup, ils peuvent la choper.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Sébastien Koechlin () le 16/09/2003 à 15:43. (lien). Évalué à 18.

Pour le courrier, il y a une petite nuance. Il y a visiblement un faux serveur de mail sur cette machine qui réponds que l'utilisateur n'existe pas, enfin, qui semble avoir été conçu pour répondre cela :

$ telnet 64.94.110.11 smtp
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby1-wceast Snubby Mail Rejector Daemon v1.3 ready
HELO plop.org
250 OK
MAIL From: <test@plop.org>
250 OK
RCPT To: <postmaster@somenowhere.com>
550 User domain does not exist.
221 snubby1-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel
Connection closed by foreign host.
$

Le serveur s'appelle "Mail Rejector Daemon" et il me dit que l'email n'existe pas. Le problème, c'est que visiblement ce robot est TRES TRES bête :

$ telnet 64.94.110.11 smtp
Trying 64.94.110.11...
Connected to 64.94.110.11.
Escape character is '^]'.
220 snubby1-wceast Snubby Mail Rejector Daemon v1.3 ready
Plop
250 OK
Coin
250 OK
PAN!
550 User domain does not exist.
Zut
250 OK
\_o<
221 snubby1-wceast Snubby Mail Rejector Daemon v1.3 closing transmission channel
Connection closed by foreign host.

En fait, il se contente de répondre "250 OK" aux deux premières questions, qui sont normalement HELO et MAIL From, et "550" à la suivante.

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Rossel Olivier () le 16/09/2003 à 15:47. (lien). Évalué à 5.
Un honeypot a mail :-)
Un faux serveur SMTP qui logge tous les details des mails recus.

Mais que fait Sarkozy !!!!!!

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Boa Treize (page perso, ) le 16/09/2003 à 15:48. (lien). Évalué à 2.
Bon, c'est bien, mais qui te dis qu'il ne garde pas de côté les deuxième et troisième messages du client (qui dans l'immense majorité des cas sera l'adresse de l'expéditeur et l'adresse du destinataire) ?
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Bemixam (page perso, ) le 17/09/2003 à 12:01. (lien). Évalué à 1.
  la aussi il va falloir faire un script qui fausse les stats ! hehehe
  
  --
  scooba : herbergeur alternatif gratuit

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Ju. (Jabber id, ) le 16/09/2003 à 15:46. (lien). Évalué à 6.

L'analyse de NetEconomie : (VF)
http://www.neteconomie.com/perl/navig.pl/neteconomie/infos/article/(...)

La news Yahoo : (VO)
http://story.news.yahoo.com/news?tmpl=story&u=/washpost/2003091(...)

Et pour eviter les redites :
http://linuxfr.org/~inside/5384.html(...)

--
Les fans de Ubuntu et leurs CD, c'est comme les Mormons avec leur évangile, ils en ont toujours sur eux à donner, au cas où.
Zorro.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par _alex () le 16/09/2003 à 15:46. (lien). Évalué à 8.

Ce qui est aggaçant : même si au bout d'une semaine ils font machine arrière, ils ont des logs d'une semaine surtout les noms de domaines non existant demandés, sur une quantité de refer, et cookie collosalle. Et qu'importe si leurs serveurs sont saturés....
Et je pense que ça vaut son pesant d'or ce genre d'information....

C'est l'idée (peut être fausse) que je m'en fait (je n'ai pas lu leurs doc)

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Obsidian () le 16/09/2003 à 15:51. (lien). Évalué à 5.
A mon avis, wildcard ou pas, si on possède les root DNS, on a déjà une vision globale des requêtes sur les noms de domaines.

Par contre, les refer/cookie et autres sont effectivement une nouveauté.

Re: VeriSign détruit l'un des fondements d'Internet

Posté par pef () le 16/09/2003 à 15:47. (lien). Évalué à 9.

En vous trompant dans une url, n'oubliez pas que cela vous vaut l'acceptation de la license de la page Verisign :

http://sitefinder.verisign.com/terms.jsp(...)

En plus ils sont super sympa, morceaux choisis :

The VeriSign Services complement our DNS resolution service and provide information that may prove useful to you in locating the resources you originally intended to access

"Ce service complète la résolution d'url et vous donne des infos (liens commerciaux ?) vers les informations que vous tentiez d'obtenir.

If you want to make commercial use of the VeriSign Services, you must enter into an agreement with us to do so in advance.

En gros ils disent que si vous voulez mettre de la pub il faut les contacter ?

The VeriSign Service may automatically display categories and links to other third party web sites.

Là je crois que c'est clair, des liens commerciaux.

J'oubliais de relever où il est dit qu'en utilisant la page vous acceptez d'office les conditions :

By using the service(s) provided by VeriSign under these Terms of Use, you acknowledge that you have read and agree to be bound by all terms and conditions here in and documents incorporated by reference

Eh bin, ca promet.

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Vivi (page perso, ) le 16/09/2003 à 17:23. (lien). Évalué à 4.
à ce propos voir :

http://www.hinterlands.org/ver/txt/(...)

ça explique comment en téléphonant à verisign et en leur expliquant que tu refuses les confitions du ToU, ils peuvent retirer ton bloc IP de leur liste de blocs à qui il servent le wildcard. Mais c'est pour l'UK (et rien ne dit qu'ils fassent vraiment).
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par gnap gnap (page perso, ) le 16/09/2003 à 17:30. (lien). Évalué à 2.
  On devrait exiger de nos fournisseur d'accès d'avoir leurs blocs IP de leur liste.
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par William Steve Applegate (page perso, ) le 16/09/2003 à 22:07. (lien). Évalué à 6.
  C'est quoi ce numéro ? Un numéro aux É-U ? Je suppose que non, puisqu'il ne commence pas par 1. En Angleterre, alors ? Est-il accessible depuis la France (hmmm... 0800... j'ai un doute) ? En plus, malgré mon nom, je parle pas Anglais (je l'écris, mais je le parle pas compréhensiblement, normal ch'uis tout le temps avec des Français :-) Je fais comment, moi à faire comprendre à Verisign qu'il faut qu'ils arrêtent de polluer mes requêtes ?
  
  Autre chose : en admettant qu'ils mettent effectivement une ACL pour servir des zones différentes si on leur demande, cela risque de devenir un beau bordel. Par exemple, si mon FAI (Nerim) ne demande pas ça, mais que moi et plein d'autres clients avec une IP le demandent, ils mettent tous les /32 dans l'ACL ? Ça va être joyeux ! Et si une personne qui a une IP dynamique demande, ils font comment ? Ils rajoutent toutes les plages IP du FAI sans demander leur avis aux admins (encore que, après tout ils n'ont demandé l'avis de personne avant de mettre ça en place, donc...) ?
  
  Bon, quoi qu'il en soit, j'ai trouvé sur /. un lien vers un formulaire ICANN pour gueuler contre les registrars [http://reports.internic.net/cgi/registrars/problem-report.cgi(...)] et j'y ai dit ce que je pensais de la clique de Verisign GRS. J'ai bien pensé à préciser le problème du spam qui augmente faute de contrôle sur les domaines inexistants, le trafic inutile à cause des accès à leur site poubelle, les problèmes pour résoudre les ennuis des utilisateurs lorsque les messages d'erreur habituels n'apparaissent pas, la non-conformité de leur script qui tient lieu de serveur SMTP, etc. N'hésitez pas à faire la même chose ! Même l'ICANN est pas enchantée de voir le registre faire cavalier seul (surtout que du coup, ils touchent rien >:-) Donc, si on gueule suffisamment, ça risque de bouger.
  
  --
  Ce message vous a été présenté par les trollomètres de compétition Prumpleffer™

Re: VeriSign détruit l'un des fondements d'Internet

Posté par pef () le 16/09/2003 à 15:49. (lien). Évalué à 1.

N'est-il pas plus intéressant de renvoyer un ICMP Host Unreachable pour une demande vers cette IP plutôt que de la null router / rediriger vers 127.0.0.1 ?

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par _alex () le 16/09/2003 à 16:21. (lien). Évalué à 1.
Est-ce que c'est possible en Iptable ?
- [^]
  
  Posté par Francois Revol (page perso, ) le 16/09/2003 à 16:33. (lien). Évalué à 4.
  route add -host 64.94.110.11 gateway 127.0.0.1
  Mais ça ne permet pas de restaurer le comportement normal.
  Pire, si tu as un serveur web local ça va poser problème.
  Si tu as un smtpd local, tu risques même d'entrer dans des boucles sans fin...
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par LupusMic (page perso, ) le 16/09/2003 à 20:57. (lien). Évalué à 1.
    Il n'y a pas un système de jeton qui indique que le paquet n'est plus valide au bout d'un certain temps ?
    - [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par Keos () le 17/09/2003 à 10:12. (lien). Évalué à 1.
      Lol oui on appel ca le TTL
      - [^]
        
        Posté par Francois Revol (page perso, ) le 17/09/2003 à 13:13. (lien). Évalué à 2.
        oué, mais bon même avec 64 ou 32 de TTL ça va augmenter le temps CPU pour traiter tout ça, sans compter les timeouts, ni les éventuels stack overflow :)
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par vazco () le 16/09/2003 à 16:39. (lien). Évalué à 9.
  iptables -I OUTPUT 1 -d 64.94.110.11 -j REJECT --reject-with icmp‐host‐prohibited
  
  mais bon, c'est bourrin.
  
  Tiens, c'est curieux... iptables gueule contre icmp‐host‐prohibited. Va falloir que j'examine ça.
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par vazco () le 16/09/2003 à 17:23. (lien). Évalué à 1.
    NB: C'est bourrin mais ça vaut 100 fois mieux que de rediriger vers localhost, puisque on retrouve au moins un comportement normal : cible inaccessible.
    - [^]
      
      Posté par Francois Revol (page perso, ) le 16/09/2003 à 17:59. (lien). Évalué à 3.
      non, pas normal.
      Il y a une différence entre "non accessible" et "inexistant".
      - [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par vazco () le 16/09/2003 à 18:19. (lien). Évalué à 1.
        On est bien d'accord, mais en attendant de transformer les réponses DNS 64.94.110.11 en "inexistant", c'est le mieux que l'on puisse faire. Mieux que de rediriger vers localhost, en tout cas. Tu le reconnais d'ailleurs toi-même : à partir du moment où un service tourne sur localhost, tu t'exposes à des emmerdements sans nom.
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par _alex () le 16/09/2003 à 20:58. (lien). Évalué à 1.
        Mozilla n'affiche ni erreur, ni page blanche : comme si on avais rien fait. Ping met au bout d'un moment : "ping: sendmsg: Operation not permitted"
        Par contre, finish les request sur leurs serveurs ...
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par vazco () le 16/09/2003 à 21:47. (lien). Évalué à 1.
        Mozilla m'affiche une boîte de dialogue :
        connexion refusée lors de la tentative de contact de verisign-suxor-des-ours.com
        
        Qu'est ce que tu as fait, exactement ?

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par gebura () le 17/09/2003 à 17:19. (lien). Évalué à 0.
Heu a mon avis mettre un joker pour les .com (*.com) serait bien plus simple, car cette adresse risque de changer et si elle le fait trop souvent ca va etre vite gallere a gerer.
M en vais mettre a jour mon dns...

Re: VeriSign détruit l'un des fondements d'Internet

Posté par Aurélien Girard () le 16/09/2003 à 15:49. (lien). Évalué à 2.

J'ai beau lire et relire la news, je ne comprend toujours pas quel est le problème.
Quelqu'un aurait-il l'aimabilité de tenter de me l'expliquer ?

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par farib () le 16/09/2003 à 16:00. (lien). Évalué à 1.
bah tous les noms de domaines qui existent pas existent et sont verisign :/

http://dsfkmdsjfsmdfjsmdfjsdmfsjd.ds5fs6dfsd.fdsfsqd.com(...)
http://dsfsdfsdfsdfsdf6414sf7sdf7s.net(...)

etc...
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Tartine () le 16/09/2003 à 17:18. (lien). Évalué à 1.
  => "Pas de réponse du serveur" : évidemment il est saturé, l'hôte !
  à comparer au "Hôte n'existe pas " pour un n'importe quoi en .org
  (dixit Konqueror)

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Annah C. Hue (page perso, ) le 16/09/2003 à 16:00. (lien). Évalué à 11.
Fonctionnement normal : http://linusquefr.org/(...)
Escroquerie par verisign : http://linusquefr.com/(...)

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par animal_omega () le 16/09/2003 à 16:00. (lien). Évalué à 1.
avant, quand tu faisais une requete DNS du type "donne moi l'IP qui correspond a ce nom" et que ce nom n'existait pas, le serveur DNS te repondait qu'il n'existait pas.
maintenant, le serveur DNS te repondras que c'est 64.94.110.11

--
#85514
IRC is just multiplayer notepad.

[^]Re: VeriSign détruit l'un des fondements d'Internet

Posté par Rossel Olivier () le 16/09/2003 à 16:01. (lien). Évalué à 4.
Si tu te gourres dans une URL, tu finis chez VeriSign.
Ca a des consequences assez deplaisantes si la requette HTTP
contient des informations sensibles (genre ton numero de CB :-)

Si tu te gourres dans une adresse mail d'envoi, ca finit chez VeriSign.
Ca leur fait de la lecture.

Tiens, au fait, quand on est dans une session HTTPS et qu'on clique submit, mais que le submit (pour une raison X ou Y) pointe vers une adresse invalide, est-ce que Verisign recoit en clair les donnees POSTees?
- [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Sébastien Koechlin () le 16/09/2003 à 16:17. (lien). Évalué à 4.
  Non pour deux raisons :
  
  - La machine poubelle de VeriSign n'accepte pas les connexions sécurisées.
  
  - Normalement, ton navigateur doit te prévenir que le nom du certificat ne correspond pas au nom de la machine que tu cherches à joindre. Comme l'échange des certificats se fait avant de préciser le nom de la machine, il n'est pas possible pour le serveur de générer le bon certificat à chaque coup.
  
  Je dis "normalement" parce qu'aux dernières nouvelles, microsoft avait du mal à implémenter ce genre de vérification dans IE.
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par Talou (Jabber id, page perso, ) le 16/09/2003 à 19:58. (lien). Évalué à 1.
    bah tiens... mais le serveur reçoit quand même l'url, ne particulier grâce à IE (combien de parts de marché déjà ?)
    C'est facile de simuler un refus... les logs en sont remplis !
- [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
  
  Posté par Aurélien Girard () le 16/09/2003 à 20:41. (lien). Évalué à -5.
  Mais si tu tapes amazone.com et que le site est enregistré il y a le même "problème"
  Pareil pour les adresses email toto_titi@bidule.com n'est peut être pas la même personne que toto.titi@bidule.com.
  
  Il n'y a donc strictement rien de nouveau. Il faut vraiment avoir envie de crier au scandale et faire preuve de mauvaise foi pour faire tout un plat de ce non évènement.
  - [^]Re: VeriSign détruit l'un des fondements d'Internet
    
    Posté par _alex () le 16/09/2003 à 21:10. (lien). Évalué à 7.
    C'est un peu comme si a chaque que tu compose un numéro non attribué de téléphone tu tombais sur un standard te demandant où tu veux aller et te diffuse de la pub :
    
    - 1/ c'est très pénible, encors de la pub dans un coin qui était tranquille (le jour ou ya de la pub dans le ciel à la place des étoiles dans une zone hors de la ville je péte un cable)
    
    - 2/ pour un programme informatique : il est incapable de savoir "je dialogue avec celui que veux" ou pas. Exemple tout bête : un programme de mise à jour télécharge des données, le site change, comment savoir au niveau du programme que le site à changer si verisign réponds toujours par défaut.
    
    - 3/ le standard téléphonique/verifsign collecte une somme collossale d'information sur nos habitudes et je maintient que ca vaut de l'or ces info à revendre (les cookies et les refer, les mails). Personnellement j'ai pas envis qu'une boite collecte des info sur moi de cette façon (avis perso)
    - [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par Olivier BENDRIES (page perso, ) le 16/09/2003 à 22:02. (lien). Évalué à -4.
      Tu oublie une boite qui collecte des infos à la tonnes toutes les secondes à la maniere dont tu ne veux pas entendre parler: google
      J'veux pas tirer sur le gentil poulet, mais cette poule au oeuf d'or qu'est google est très loin d'être transparente (info : http://www.google-watch.org(...) )
      
      Quand est-ce qu'on mets en place ce reseau parallele à internet en wireless et open à tous ?¿? ( --> airnet 'nd co )
      - [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par Clément Stenac (page perso, ) le 16/09/2003 à 22:43. (lien). Évalué à 6.
        Cf troll précédent
        
        et http://www.google-watch-watch.org(...)
        
        Google n'est certes pas la perfection, mais de là à l'accuser de tout...
        
        Et puis, tu n'es pas obligé d'aller sur google, même si tu poliotes une adresse.
        
        Sur vérisign, si
    - [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
      
      Posté par Aurélien Girard () le 17/09/2003 à 07:27. (lien). Évalué à -2.
      C'est donc exactement ce qui se passe actuellement avec les petits malins qui achètent des noms de domaines prochent de ceux de sites réels.
      - [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par Obsidian () le 17/09/2003 à 10:02. (lien). Évalué à 9.
        Non, ce n'est pas la même chose.
        
        - Le but est identique, même si c'est non avoué.
        
        - En pratique, un cybersquatteur - contre lequel des lois ont déjà été votées - ne peut pas acheter l'intégralité des noms de domaines non encore déposés. La différence est colossale entre VeriSign et ces gens-là.
        
        - Outre le coté moral, cela va poser des problèmes techniques à tout le monde: l'un des piliers de l'Internet, probablement le protocole le plus utilisé sur le réseau, vient d'être modifié unilatéralement par une compagnie unique pour ses intérêts personnels, du jour au lendemain, sans aucun préavis et évidement aucune consultation des acteurs concernés (potentiellement tout le monde). Tout cela soit disant pour te proposer des liens qui se rapprochent de celui que tu cherches ! Cette unique justification, ils ne la remplissent même pas puisque leurs serveurs (web) sont saturés.
        
        Ce n'est pas un simple cybersquatting de noms de domaines effectivement réservés, te rends-tu compte que le message standard "Host unknown" n'existe plus dans les zones .com et .net ?
        
        Il va falloir réécrire des démons spéciaux pour regénérer ce message lorsque l'adresse aura été résolue en 64.94.110.11 pour espérer retrouver un comportement normal, et cela simplement à cause du fait que les gens à qui on a confié la gestion d'un des systèmes critiques régulant le Net sont des irresponsables !
        
        Et tu appelles cela un non-événement ?
        
        [+] [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par Aurélien Girard () le 17/09/2003 à 14:27. (lien). Évalué à -6.
        te rends-tu compte que le message standard "Host unknown" n'existe plus dans les zones .com et .net ?
        
        Oui et hier j'ai mis des chaussettes marron. Ai-je sapé les fondements d'Internet ?
        
        Et tu appelles cela un non-événement ?
        Oui tout à fait.
        En quoi le "comportement" normal est-il si important ? Personne ne l'a expliqué, tout le monde se contente ici de crier au loup sans raison précise.
        
        Ce n'est qu'un détail technique qui ne cause AUCUN problème nouveau. Juste une affaire de techniciens effarouchés.
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par remi paulmier () le 17/09/2003 à 15:27. (lien). Évalué à 3.
        Je vois au moins un problème:
        
        Imagine qu'un nouveau virus sorte et que ce virus s'amuse à faire l'équivalent d'un "dig A domaine-aleatoire.{com,net}", plusieurs centaines de fois par seconde.
        
        Une fois ce virus propagé, tous les caches DNS dans les entreprises vont exploser, (sauf ceux configurés avec des limites raisonnables), provoquant ainsi un ralentissement à mon avis notable d'internet.
        
        ET je suis persuadé que ce genre de problème va se poser avec tout plein de programmes, genre un cache web par exemple, qui va s'amuser à cacher la page de verisign autant de fois qu'un nouveau domaine aura été demandé. D'ou une saturation du cache à nouveau.
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par Raphaël SurcouF (Jabber id, page perso, ) le 18/09/2003 à 04:39. (lien). Évalué à 1.
        "ET je suis persuadé que ce genre de problème va se poser avec tout plein de programmes, genre un cache web par exemple, qui va s'amuser à cacher la page de verisign autant de fois qu'un nouveau domaine aura été demandé. D'ou une saturation du cache à nouveau."
        
        Pas tout à fait: le but d'un serveur-cache est précisément d'éviter de renvoyer la même requête sur le contenu a déjà été rendu.
        Evidemment, si le serveur web de VeriSign dispose des directives HTTP adéquates (No-Pragma-Cache, je n'ai plus le nom exact en tête) ou que le rendu est par trop dynamique, alors les serveurs caches n'auront pas plus de problèmes qu'avec d'autres sites normaux: c'est la liaison qui devra dès lors supporter des requêtes supplémentaires.
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par remi paulmier () le 18/09/2003 à 07:47. (lien). Évalué à 4.
        Sauf que si tu demandes la home de 4 millions de domaines pipo différents, le cache web (c'est le cas de squid) va cacher 4 millions de fois la même page.
        
        Quand squid cache une page, il ne compare pas le contenu de la page en question avec tout son cache pour savoir s'il l'a déjà ou pas, il compare seulement les url. (imagine le temps de traitement sinon ...)
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par GCN (Jabber id, page perso, ) le 18/09/2003 à 11:28. (lien). Évalué à 3.
        Sauf erreur, si je tape: http://www.verisucks.com(...) je suis redirigé sur http://sitefinder.verisign.com/lpc?url=www.verisucks.com&host=w(...)
        
        Apparemment, tout nom de domaine inexistant se voit redirigé vers sitefinder.verisign.com. Donc j'imagine qu'un proxy cache, tel que squid, va mettre en cache sitefinder.verisign.com et pas www.verisucks.com ?!
        
        Je ne pense pas que ça va faire exploser le proxy en le gavant de milliers d'URLs invalides...
        
        --
        The UNIX way of sex:
        gunzip;strip;touch;finger;mount;fsck;more;yes;umount;sleep
        
        [^]Re: VeriSign détruit l'un des fondements d'Internet
        
        Posté par vazco () le 17/09/2003 à 20:19. (lien). Évalué à 14.
        Puisque apparemment le simple fait de créer du trafic superflu et des timeout inutiles, d'agir au mépris des standards et de priver les utilisateurs d'une information qu'ils sont légitimement en droit d'attendre, ne suffit pas, je vais te donner un exemple très simple de dysfonctionnement, et qui touche M. toulmonde :
        
        M. Toulmonde a une petite fonction sympa dans son navigateur : au lieu de taper une adresse complète, quand il veut accéder à Tonsite, il tape juste "Tonsite". Le navigateur essaie tout seul de compléter en "http://www.tonsite.com(...)". Si le dns lui répond que tonsite.com n'existe pas, il essaie .net, puis .org, puis .fr. etc. Désormais, grâce aux chaussettes marron de vairisagne, tonsite.com fait bingo à tous les coups. Dommage si c'était en fait tonsite.net (cf. framasoft). M. toulmonde à intérêt à taper des adresses complètes s'il ne veut pas être régulièrement confronté à une page qui essaiera au passage éventuellement de le réorienter vers pastonsite.com.
        
        Ça n'a l'air de rien, n'est

Articles précédents : Internet

Liens connexes

Dépêche modérée par

Internet : VeriSign détruit l'un des fondements d'Internet

ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

[^]Re: ça va saturer non ??

Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[+] [^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[+] [^]Re: VeriSign détruit l'un des fondements d'Internet

[+] [^]Re: VeriSign détruit l'un des fondements d'Internet

QUEUE FER

[^]Re: QUEUE FER

[^]Lien actif.

[^]Re: QUEUE FER

[^]Re: QUEUE FER

[^]Re: QUEUE FER

[^]Re: QUEUE FER

[^]Re: QUEUE FER

Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet

[^]Re: VeriSign détruit l'un des fondements d'Internet