symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Verisign biegt ungülte Domains um
Veröffentlicht durch xilef am Dienstag 16. September, 09:54
Aus der wer-braucht-schon-Standards Abteilung
Internet Schutti schreibt "Wie die FUZO schreibt, lenkt Verisign nicht existierende DNS Einträge auf ihr Suchportal um. Pioniere sind sie da nicht, MSN und AOL machen das auch, nur eben auf Browserebene. Nur kann man sich diesem Angriff auf die Internetstandards nicht durch einen Browserwechsel entziehen. Betroffen sind laut FUZO .com und .net."

Laut einer Mail auf der SwiNOG-Liste wird nun auch noch .com umgebogen. Verisign erklärt ihr Vorgehen in einem Whitepaper.

Noch offen ist, inwiefern sich dieses Vorgehen z.B. auf Suchmaschinen auswirken wird, die nun jede nicht-existente Domain zu indexieren anfangen, oder auf die Spam- und Datenschutz-Problematik, da auch Mails an ungültige Domains umgebogen (und abgelehnt) werden.

Weniger Spam und mehr Spam | Druckausgabe | Neues 15" Powerbook vorgestellt  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • SwiNOG
  • Whitepaper
  • FUZO
  • Mehr zu Internet
  • Auch von xilef
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    So ne Schweinerei! (Score:0)
    Von Anonymer Feigling am Tuesday 16. September, 10:20 MET (#1)
    Jetzt haben sie echt den Bock abgeschossen.. !
    Geld, Geld, nichts als Geld (Score:0)
    Von Anonymer Feigling am Tuesday 16. September, 10:36 MET (#2)
    Seitdem Verisign vor ein paar Jahren (oder sind es schon Dekaden?) ihr Monopol auf .com .net und .org abgeben mussten, versuchen sie ihren Namen auf andere Art und Weise bekannt zu machen.
    Auch wenn auf der Seite kein direkter Link zu einer Site ist, wo sie Domainnamen verkaufen, so können sie mit dieser Methode ihren Namen bekannter machen. Und so etwas auf dem Rücken der gesamten Internetbenutzergemeinschaft.
    PS: Und dann erst noch Daten schnüffeln, die wahrscheinlich den amerikanischen Geheimdiensten abgeliefert werden. Pfui
    Mail aus der swinog liste (Score:3, Informativ)
    Von Anonymer Feigling am Tuesday 16. September, 10:37 MET (#3)

    From: "George William Herbert" gherbert(ät) retro.com
    To:
    Sent: Tuesday, September 16, 2003 10:21 AM
    Subject: Re: Change to .com/.net behavior

    >
    >
    >
    > I would like to make a few evolving observations
    > about the wildcard DNS entries which Verisign
    > initiated in .net and .com earlier today.
    >
    > 1) By all reasonable interpretations, Verisign is now
    > operating in violation of the .com and .net Registry
    > Agreements. Specifically, Sect 24 of the main agreement
    > for .com and Sect 3.5.3, 3.5.5, and 3.6, 3.8 of the main
    > agreement for .net, and the rather blank Appendix X.
    > I believe it to be trivial to demonstrate that even
    > if Verisign issued an ammended Appendix X, such a wildcard
    > entry will exceed the numerical limits specified of 5000
    > domains, and that the anti-competitive and code of conduct
    > sections will still apply and prohibit this behaviour.
    > Explicitly.
    >
    > 2) By any reasonable interpretation this sort of change
    > should have been clearly announced beforehand to technical
    > communities that would be affected, including but not
    > limited to NANOG, and was not.
    >
    > 3) By any reasonable interpretation this sort of change
    > should have been clearly announced beforehand to policy
    > communities that would be affected, and was not.
    >
    > 4) By any reasonable interpretation of safe and conservative
    > operational procedure, when the various technical and policy
    > issues which were raised over the course of today were
    > made public, Verisign should have rolled the changes back
    > out and announced so until such time as at least *proper*
    > and extensive announcements were made, preferably until such
    > time as Verisign obtained technical community and policy
    > community approval. Verisign has not done so as of when this
    > email was being prepared, at least not querying A.GTLD...
    >
    > 5) An organization which displays this sort of behaviour
    > is not a reasonable candidate from an operational standpoint
    > to stand as the manager of any GTLD.
    >
    > 6) An organization which displays this sort of behaviour
    > is not a reasonable candidate from a legal standpoint to
    > stand as the manager of any GTLD.
    >
    > 7) An organization which displays this sort of behaviour
    > is not a reasonable candidate from a technical standpoint
    > to stand as technical manager of any GTLD or the registrar
    > coordination processes.
    >
    > 8) An organization which displays these sorts of behaviours
    > clearly calls into question the operating assumptions about
    > fair registrar behaviour in the .com and .net registry
    > agreements and thus the entire validity of allowing one
    > company to both manage and act as a registrar for those
    > domains.
    >
    > 9) The apparent complete lack of clue on Verisigns'
    > part as to the magnitude of the hornets nest that
    > this change would kick over, and its lack of any appropriate
    > responses even simply better wider information releases,
    > calls into question the suitability of Verisign's staff
    > and management structure for operating the key central
    > registry functions.
    >
    > 10) Given items 1-9, I call upon ICANN to immediately
    > launch an investegation into the validity and legality
    > of Verisign's wildcard DNS entries; into the operational
    > procedures Verisign is using; into the apparent material breach
    > of Verisign's .com and .net management contracts; and into
    > the suitability of Verisign to remain the .com and .net
    > manager in the future and in pariticular the suitability
    > of the current Verisign management team for participation
    > in that key neutral operational role. I specifically
    > request that ICANN initiate community policy discussions
    > as to whether the GTLD management functions should be
    > required to be spun off into a separate entity from
    > Verisign and not sharing any ownership or management
    > structure.
    >
    > 11) Given items 1-9, I call upon the Department of Commerce
    > to immediately investigate whether Verisign is in material
    > breach of its cooperative agreements and whether Verisign
    > in its current form and with its current staff are suitable
    > to remain manager of the .com and .net GTLDs, and the same
    > set of questions I pose to ICANN, in such areas as DOC
    > is engaged in policymaking regarding Internet Domain Names.
    >
    >
    > -george william herbert
    > gherbert(ät) retro.com
    >
    >


    Das geht nicht lange (Score:2, Interessant)
    Von Seegras am Tuesday 16. September, 10:38 MET (#4)
    (User #30 Info) http://www.discordia.ch
    Die anderen Registrare werden sofort wegen Wettbewerbsverzerrung dagegen randalieren; und die Länder-TLD NICs werden aus technischen Gründen dagegen protestieren. Zum Beispiel AFNIC, die sind dermassen anal was die korrekte DNS-Einrichtung betrifft, die werden das niemals akzeptieren.

    Nebenbei: Das bedeutet dass kein Linkchecker mehr "nicht existierende hosts" für .com finden kann.
    --
    "The more prohibitions there are, The poorer the people will be" -- Lao Tse

    iptables (Score:1, Interessant)
    Von Anonymer Feigling am Tuesday 16. September, 10:48 MET (#5)
    ..und schon kommt 64.94.110.11 nach -j REJECT ..
    Re:iptables (Score:1)
    Von blindcoder (symlink@scavenger.homeip.net) am Tuesday 16. September, 11:29 MET (#7)
    (User #1152 Info)
    Bringt nix, weil sich 64.94.110.11 ja nicht zu dir connected. Wenn du das sinnvoll machen willst, dann entweder eigenen DNS-Server, oder:

    # iptables -A OUTPUT -t nat -p tcp -d 64.94.110.11 -j DNAT --to-destination 127.0.0.1

    alternativ kann man auch 127.0.0.1:port verwenden, wobei port ein nicht benutzter port auf der lokalen maschine ist.

    root@crazyhorse:~# iptables -A OUTPUT -t nat -p tcp -d 64.94.110.11 -j DNAT --to-destination 127.0.0.1:2
    root@crazyhorse:~# wget www.upnhidasepidnthdioscpnredih.com
    --12:28:41-- http://www.upnhidasepidnthdioscpnredih.com/
                          => `index.html'
    Resolving www.upnhidasepidnthdioscpnredih.com... done.
    Connecting to www.upnhidasepidnthdioscpnredih.com[64.94.110.11]:80... failed: Connection refused.
    root@crazyhorse:~#

    blindy
    Sie DDoS'en sich selbst (Score:3, Interessant)
    Von blindcoder (symlink@scavenger.homeip.net) am Tuesday 16. September, 11:16 MET (#6)
    (User #1152 Info)
    Ich glaube nicht, dass VeriSign das lange aushaelt. Nein, nicht den Druck der Oeffentlichkeit. Den Druck in ihrer Leitung.
    Hunderttausende von Leuten vertippen sich staendig, wenn sie irgendwas eintippen.
    So gut kann gar kein DDoS-Wurm sein wie das, was VeriSign sich da grade gebastelt hat.

    crash@apollo:~$ time wget -o /dev/null www.thieouhaisah.com

    real 0m10.253s
    user 0m0.000s
    sys 0m0.010s
    crash@apollo:~$

    Das von einer 34MBit-Leitung.
    Und das von einer "normalen" TDSL-Leitung:
    blindcoder@crazyhorse:~$ time wget -o /dev/null www.thieouhaisah.com
    ^C

    real 1m26.335s
    user 0m0.000s
    sys 0m0.010s
    blindcoder@crazyhorse:~$
    blindcoder@crazyhorse:~$ time wget -o /dev/null www.thieouhaisah.com

    real 0m36.551s
    user 0m0.010s
    sys 0m0.000s
    blindcoder@crazyhorse:~$


    Noch Fragen, wie lange die das durchhalten?
    Re:Sie DDoS'en sich selbst (Score:0)
    Von Anonymer Feigling am Tuesday 16. September, 11:29 MET (#8)
    Und dann gibts noch die Spammer, welche alle Buchstaben/Zahlenkombinationen durchprobieren um an mögliche Domainnamen heranzukommen. Hatte mal einen in der Schweiz soweit, dass er es zugegeben hat. Sein dämlicher Kommentar war dann auch noch, dass ich einen längeren Domainnamen verwenden soll um nicht "entdeckt" zu werden.
    Re:Sie DDoS'en sich selbst (Score:0)
    Von Anonymer Feigling am Wednesday 17. September, 14:48 MET (#20)
    nicht mehr lange...

    while ((1)); do wget -o /dev/null www.$(head -c1000 /dev/random | sed "s/[^a-zA-Z0-9]*//g" | head -c15).com; done
    Gegooogelt (Score:2)
    Von Obri am Tuesday 16. September, 13:18 MET (#9)
    (User #466 Info) http://www.aubry.li
    Google hat schon diverse sachen zum Problem:

    Verisign DNS rant
    djbdns patch
    Bind8 Patch
    Sla shdot Artikel

    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Mein Test ging schief... (Score:2)
    Von brummfondel am Tuesday 16. September, 15:17 MET (#10)
    (User #784 Info)
    hfgh.com eingegeben - einfach so mal getippt und dann kam was, aber nicht verisign. Ok, neuer Versuch und alles endet im Timeout. Ich glaub, deren Server ist schon ziemlich platt.

    --
    $ cd /dos/c/MICROSO~1
    $ rm -rf *
    Eigene DNS-Server? (Score:0)
    Von Anonymer Feigling am Tuesday 16. September, 16:10 MET (#11)
    Hat wer eine Anleitung, wie man sich den eigenen Nameserver so einrichtet, dass er all diese stupiden Leereinträge als erkennt und die eigentlich korrekte Antwort für eine nicht existierende Domain liefert?
    Re:Eigene DNS-Server? (Score:2)
    Von Obri am Tuesday 16. September, 16:29 MET (#12)
    (User #466 Info) http://www.aubry.li
    Siehe gegooogelt, es gibt Patchs für manche nameserver, ich habe leider überall bind9 und dazu gibt es noch nichts :-( Ich denke man sollte ein par DNS Server patchen und diese veröffentlichen. Ist zwar nur symptombekämpfung aber den rest werden höffentlich die Gerichte reparieren, auch wenns etwas länger dauert.
    --
    Bahnübergänge sind die härtesten Drogen der Welt.
    Ein Zug und du bist weg!
    Re:Eigene DNS-Server? (Score:0)
    Von Anonymer Feigling am Tuesday 16. September, 18:37 MET (#14)
    Das sagt wer auf Slashdot: If you run a nameserver and want to return NXDOMAIN instead of Verisign's IP, add this code to your named.conf if you are running BIND 9.2.2 zone "11.110.94.64.in-addr.arpa" { type master; allow-query { none; }; }; If you are running a version below 9.2.2 create a generic zonefile with contents such as $TTL 288000 @ IN SOA localhost. root.localhost. 1 7200 3600 604800 600 and use this line in named.conf instead zone "11.110.94.64.in-addr.arpa" { type master; file "generic.zone"; allow-query { none; }; };
    Re:Eigene DNS-Server? (Score:1)
    Von pizzaboy am Wednesday 17. September, 09:10 MET (#17)
    (User #1147 Info) http://www.woody.ch
    Das funktioniert wohl für Reverse Lookups...
    Aber was ich möchte, ist dass *.com *.net nicht mehr erscheinen. Wie macht man das?
    DNS muss non-profit sein (Score:2)
    Von bones am Tuesday 16. September, 18:26 MET (#13)
    (User #481 Info) http://www.p-guhl.ch
    Das wäre hiermit bewiesen.

    Wo kriegt man jetzt eine Organisation her, die von Politik *und* Kommerz *und* Religion unabhängig ist?

    Grüsse vom Knochen

    PS: Was kommt, wenn man dort ein e-mail hinschickt? hostmaster@[a-zA-Z0-9_]*.com zu sein ist sicher ein toller Job!
    Re:DNS muss non-profit sein (Score:0)
    Von Anonymer Feigling am Tuesday 16. September, 18:53 MET (#15)
    Wenn man ein Mail dorthin schickt, wird es gebounct (ja, der smtp-Port ist offen!!!). Der "MTA" ist aber so schlecht, dass er die Verbindung manchmal auch so trennt, als wäre das Mail erfolgreich angenommen worden! Bye bye Mail mit Tippfehler in der Adresse. Nie wird jemand erfahren, dass du nie angekommen bist. **Grün und blau ärger**
    Re:DNS muss non-profit sein (Score:2)
    Von P2501 am Wednesday 17. September, 08:27 MET (#16)
    (User #31 Info) http://www.p2501.ch/

    Gut, die Gefahr bestand zu einem gewissen Teil schon immer. Wenn durch deinen Tippfehler nämlich eine andere, korrekte eMail-Adresse entsteht, geht die Mail einfach ohne Rückmeldung an den falschen Empfänger.


    --
    If it's GNU/Linux, it's GNU/BSD, too ;-)
    Re:DNS muss non-profit sein (Score:1)
    Von kruemelmonster am Wednesday 17. September, 10:35 MET (#19)
    (User #3 Info)
    Nur war die wahrscheinlichkeit vor allem bei nem tippfehler im domainname deutlich kleiner, ausversehen nen existierenden namen zu erwischen auf dem erst noch ein catch-all läuft oder sogar der entsprechende user existiert!

    Scheissbude!
    Re:DNS muss non-profit sein (Score:0)
    Von Anonymer Feigling am Wednesday 17. September, 10:31 MET (#18)
    du sagst hier, dass das Teil ein 250 zurück gibt? - solange kein 250 ankommt wurde keine Mail angenommen... lies mal das RFC821 nach
    Re:DNS muss non-profit sein (Score:1)
    Von Y Plentyn am Tuesday 23. September, 01:44 MET (#21)
    (User #705 Info)
    Klar, gibt es doch schon, man nehme einfach eine der alternativen DNS-Organisationen. Da sind auch welche drunter, die vernünftigere Ansätze als ICANN bieten. Mein Lieblingsansatz ist OpenNIC, aber TINC, das ich beim Suchen danach gefunden hab, sah auch nicht schlecht aus.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen