gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
wildcards nos .COM e .NET, by Verisign
Contribuído por scorpio em 16-09-03 13:58
do departamento novo-portal: xsa87x82738732x8723bx8732n87n23x7.com
dns Anonimo_gay escreve "A partir de ontem, a Verisign colocou um wildcard nos domínios .com e .net. Na prática, isto quer dizer que todos os domínios não registados passam a ser redireccionados para um servidor da Verisign. Se acederem via web, aparece-vos uma página da Verisign (sitefinder) e comem com uns cookies para identificação.
Para além de ser um abuso de poder, esta situação pode tornar-se especialmente incómoda para diagnóstico de problemas (todos os domínios passam a resolver para o IP da Verisign), e pode ainda tornar-se num problema para a própria Verisign: já estou a ver alguns brincalhões a incluírem links para domínios random (.com ou .net), de forma a que os motores de pesquisa vão mastigar (again) o site da Verisign. Pior ainda: posso tentar entregar mail para todos os domínios .com e .net que existam ou não - lá se vão os filtros anti-spam com base na existência ou não do domínio.
Se isto não é um abuso de monopólio por quem 'gere' os root-servers, é porque afinal a Cicciolina ainda é virgem. "

[scorpio: Uma novidade, a resposta da IAB a esta situação.]

Motorola e Microsoft | bug no openssh  >

 

gildot Login
Login:

Password:

Referências
  • gildot
  • a Verisign colocou um wildcard nos domínios .com e .net
  • resposta da IAB
  • Mais acerca dns
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Alguem não gostou da brincadeira (Pontos:1)
    por _570RM_ em 16-09-03 14:17 GMT (#1)
    (Utilizador Info)
    Alguem nao deve ter gostado.
    O site ta em baixo.
    Re:Alguem não gostou da brincadeira (Pontos:3, Interessante)
    por biduxe em 17-09-03 0:18 GMT (#14)
    (Utilizador Info)
    Qual é o teu ISP?

    Deve ter bloqueado o IP

    Espero que o meu faça o mesmo.
    ------ EOFim.
    Re:Alguem não gostou da brincadeira (Pontos:3, Interessante)
    por spyder em 17-09-03 18:11 GMT (#25)
    (Utilizador Info)
    Bloquear o IP e' uma ma' solucao (porque os nameservers continuam a achar que o dominio "existe".). Depois nao estranhem se os clientes se queixarem com coisas do tipo ("nunca consigo chegar ao www.site-da-minha-avo.com! voces sao uma merda!")
    Ja andam prai patches (pelo menos para o DJBDNS e para o BIND) para reconhecer esta aberracao e devolver a resposta correcta (i.e., NXDOMAIN).
    No "meu" ISP ja' foram aplicados ontem, varios ISPs nos US tb ja' o fizeram, e suspeito que os restantes devem fazer o mesmo nao tarda nada...
    Re:Alguem não gostou da brincadeira (Pontos:2)
    por biduxe em 18-09-03 10:57 GMT (#28)
    (Utilizador Info)
    Eu sei que a solução não é boa....
    Aliás não é uma solução, é qualquer coisa entre manifestação e retaliação.
    ------ EOFim.
    Bug? (Pontos:0, Redundante)
    por taf-7arte em 16-09-03 14:26 GMT (#2)
    (Utilizador Info) http://taf.net
    Isto parece-me tão patético que me cheira a bug nos DNSs... Mau demais para ser uma opção consciente da Verisign!

    Ou então algum funcionário "espertinho".
    Re:Bug? (Pontos:2, Informativo)
    por lbruno em 16-09-03 16:16 GMT (#5)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    foi de proposito.
    Re:Bug? (Pontos:0, Lança-chamas)
    por taf-7arte em 16-09-03 16:29 GMT (#6)
    (Utilizador Info) http://taf.net
    Então acho que se vão dar muito mal...
    Re:Bug? (Pontos:1)
    por taf-7arte em 18-09-03 23:51 GMT (#31)
    (Utilizador Info) http://taf.net

    Não percebi...
    O meu comentário anterior (" Então acho que se vão dar muito mal...") foi moderado como "lança-chamas". Porquê? Não é que o facto me preocupe muito, mas fica a curiosidade: ter-me-ei explicado mal? Se assim foi, passo a explicar melhor.

    A Verisign ao tomar uma decisão desta gravidade e sem pré-aviso provocou indignação e preocupação generalizada. É provável que isso tenha consequências negativas para a empresa. Foi isto que eu quis dizer.

    bug nao, feature! (Pontos:2, Informativo)
    por jamaica em 16-09-03 18:03 GMT (#7)
    (Utilizador Info) http://latencias.pt.vu
    Vejam este site para uma explicaçãozinha detalhada da nova "Micro$oft dos DNS" :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti
    Re:bug nao, feature! (Pontos:1)
    por nbk em 16-09-03 21:01 GMT (#9)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    O texto é interessante.

    Já agora, este pequeno texto pode dar jeito:

    http://www.hinterlands.org/ver/txt/

    @919, Nbk

    Re:bug nao, feature! (Pontos:2)
    por Lowgitek em 16-09-03 23:05 GMT (#11)
    (Utilizador Info) http://www.youthinkwedo.com
    Já fiz queixa ao meu ISP e pedi para retirarem o meu net block. 213.84.58.
    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:bug nao, feature! (Pontos:2)
    por Lowgitek em 17-09-03 16:49 GMT (#22)
    (Utilizador Info) http://www.youthinkwedo.com
    E pa olha me para a resposta destes gajos ao meu email de reclamação:

    -----Mensagem original-----
    De: sitefinder@verisign-grs.com [mailto:sitefinder@verisign-grs.com]
    Enviada: qua 17-09-2003 15:02
    Para: Elton Machado
    Cc:
    Assunto: Re: FW: Atention: Legal Department > (KMM974726V181L0KM)

    Dear Elton,

    Thank you for contacting VeriSign Customer Service.

    Our site finder service does not allow a user to opt-out or cancel. We
    apologize for the inconvenience this has caused.

    If you require further assistance please contact us by replying to this
    email.

    Best Regards,

    Wali Farhad
    Customer Service
    VeriSign, Inc.
    www.verisign.com
    sitefinder@verisign-grs.com

    --------------------------------------

    Gostaria de pedir ajuda e uma orientaçao no que devo fazerm visto que acredito que a mesma politica vai contra os meus direitos de privacidade e de utilização de um serviço.

    Simplesmente discordo da politica levada a cabo por eles, num sistema opt-in, não aceita as condiçoes de uso nem os seus termos e mesmo assim sou como que obrigado a aceitar.

    O que fazer nesta situação ?

    Btw. ja mandei ao meu isp a pedir que tomem uma atitude em relação a isso.

    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:Bug? (Pontos:0, Lança-chamas)
    por taf-7arte em 18-09-03 23:56 GMT (#32)
    (Utilizador Info) http://taf.net

    E esta, moderado como "redundante"?
    Dá a impressão que há algum moderador novo que não sabe ver a ordem cronológica das mensagens... ;-)

    Ok, pronto, esta pode ser moderada como "lança-chamas" :-) :-) :-)
    Compraram todos os domínios e nem me avisaram :( (Pontos:1)
    por liberdade em 16-09-03 15:13 GMT (#3)
    (Utilizador Info) http://wideopenbsd.org
    Desta, nem o P.V. se lembrou...
    Já agora o link para o Slashdot.
    . (Pontos:3, Interessante)
    por lbruno em 16-09-03 16:08 GMT (#4)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    while true; do
            lynx -dump `ps axuw | md5sum | cut -f 1 -d ' '`.com > /dev/null
            sleep 1
    done

    Sugiro que alterem o "sleep 1" de acordo com a largura de banda que estejam dispostos a gastar.

    Assusta-me que a mesma entidade que emite certificados SSL possa servir de monkey-in-the-middle. E' preciso nao esquecer que o modelo de seguranca do SSL requer uma trusted Certificate Authority. Ja' que estao a redireccionar trafego para eles (de proposito, btw), quem nao os impede de emitir um certificado on-the-fly para o endereco que estao a servir?

    E quem e' que os impede de redireccionar um domain activo para eles proprios? (ja' o fizeram para o dorkslayers.com)

    Uma thread interessante: What *are* they smoking?
    *.dns (Pontos:3, Interessante)
    por nbk em 16-09-03 20:42 GMT (#8)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    Isto parece-me um grande tiro da Verisign num dos seus pés. De repente, *alguém* na internet decide que os dominios não existentes em *.com e *.net vão ter uma webpage própria. Lols, piada do ano, só pode ser. Deixa-me adivinhar: a página de erro vai ter um fantástico link para a página de "Products & Services" da ... Verisign!

    Por outro lado, pode ser o inicio do fim da canibalização do dns, o voltar a usar apenas o 193.123.34.2, a implosão do ipv4, por falta de IP's, o renascer do ipv6, o retirar do código do apache aquelas coisas maradas do virtual hosting (nessa altura 1 ip = 1 site), etc, etc....

    @904, Nbk

    p.s. - Em jeito de má lingua, ouvi dizer que o sôr ministro está atento a estas inovações e vai mandar aplicar um * ao .pt, e também ao ps.pt, e a outros dominios chatos que andam aí...

    Re:*.dns (Pontos:1)
    por lbruno em 17-09-03 9:21 GMT (#16)
    (Utilizador Info) http://republico.estv.ipv.pt/~lbruno/
    OffTopic™, mas:
    a implosão do ipv4, por falta de IP's
    pensei que o problema fosse devido ao tamanho descomunal das tabelas de routing; ate' porque existem /8 por usar.
    Re:*.dns (Pontos:1)
    por NeVErMinD em 17-09-03 10:52 GMT (#17)
    (Utilizador Info)
    nslookup they_already_do_that.co.pt
    Server: 127.0.0.1
    Address: 127.0.0.1#53

    Non-authoritative answer:
    Name: they_already_do_that.co.pt
    Address: 66.139.79.170

    Re:*.dns (Pontos:3, Esclarecedor)
    por liberdade em 17-09-03 11:00 GMT (#18)
    (Utilizador Info) http://wideopenbsd.org
    co.pt pretence a uma empresa privada.
    Re:*.dns (Pontos:1)
    por NeVErMinD em 17-09-03 12:31 GMT (#19)
    (Utilizador Info)
    O "They" referia-se ao facto que este metodo já ser utilizado por Portugueses á bastante tempo, e não ao estado Portugues em si.
    Re:*.dns (Pontos:1)
    por taf-7arte em 17-09-03 12:45 GMT (#20)
    (Utilizador Info) http://taf.net
    " O "They" referia-se ao facto que este metodo já ser utilizado por Portugueses á bastante tempo, e não ao estado Portugues em si."

    Se é por isso, então deves encontrar mesmo muitos casos em .pt e milhares de casos por esse mundo fora... Até havia alguns registrars que configuravam assim os domínios quando estes eram registados.

    Mas, lá está, isso é perfeitamente legítimo porque se trata da configuração de domínios privados, efectivamente existentes.

    Re:*.dns (Pontos:1)
    por NeVErMinD em 18-09-03 10:37 GMT (#27)
    (Utilizador Info)
    Mas, lá está, isso é perfeitamente legítimo porque se trata da configuração de domínios privados, efectivamente existentes.

    Fica a duvida se por ser privado lhe é legítimo violar os procolos.
    Se por um lado ao nivel do http a pagina que te aparece informa-te que o dominio está disponivel logo que nao existe( falando em termos humanos, porque o "200 OK" está lá) ao nivel de smtp isso não está a acontecer.

    Parece-me que para se conseguir enviar mails para domains que na realidade nao existem alguma implementaçao (MTA) está a violar as regras.

    echo 'reply a dizer 550 User domain does not exist nao aparece' | mail teste@they_already_do_that.co.pt

    Meu carro tambem é privado mas quando o guio na via publica tenho que cumprir as regras.

    Re:*.dns (Pontos:1)
    por nbk em 18-09-03 19:32 GMT (#29)
    (Utilizador Info) http://www.mrnbk.com/
    Boas.

    No caso do co.pt, não estamos a falar ( por muito que queiramos ) de um ccTLD, mas sim de um dominio, que depois vende/aluga/dá/whatever ->subdominios- . :-)

    @857, Nbk

    Re:*.dns (Pontos:1)
    por NeVErMinD em 19-09-03 21:39 GMT (#33)
    (Utilizador Info)
    Viva,
    Eu pensava que se estava a discutir os problemas que a adopção destas tecnicas nos nameserver´s podem causar. Mas se é ccTLD`s que querem, tambem ja se pratica a algum tempo..

    Server: 127.0.0.1
    Address: 127.0.0.1#53 Non-authoritative answer:

    Name: they_already_do_that.ph
    Address: 203.119.4.6


    Re:*.dns (Pontos:1)
    por taf-7arte em 18-09-03 22:48 GMT (#30)
    (Utilizador Info) http://taf.net

    "para se conseguir enviar mails para domains que na realidade nao existem"

    Mas os subdomínios existem! São propriedade do detentor do domínio "pai", que resolveu criar _todos_ os subdomínios possíveis ao configurar o * no DNS do _seu_ domínio.

    É uma situação totalmente diferente do caso da Verisign, que está a responder a domínios que não são de ninguém.

    Re:*.dns (Pontos:1)
    por NeVErMinD em 19-09-03 21:43 GMT (#34)
    (Utilizador Info)
    Nao, os subdominios nao existem.
    Re:*.dns (Pontos:1)
    por taf-7arte em 20-09-03 11:21 GMT (#35)
    (Utilizador Info) http://taf.net

    "Nao, os subdominios nao existem."

    Meu caro, o que é que define a existência ou não de um sub-domínio?

    Não é a existência de um website, certamente. Não é a possibilidade de o subdomínio receber mail. Não é a possibilidade de fazer telnet para o endereço.

    O que "cria" o subdomínio é ele ser configurado no DNS, nada mais. Nem que seja com o *.

    O que tornou revoltante a atitude da Verisign é que, ao configurar assim o DNS, ela de facto criou todos os domínios que não estavam registados.

    Re:*.dns (Pontos:1)
    por NeVErMinD em 20-09-03 11:34 GMT (#36)
    (Utilizador Info)
    Viva,

    O que "cria" o subdomínio é ele ser configurado no DNS, nada mais. Nem que seja com o *.

    Seguindo o teu raciocinio o que "cria" um dominio é o *. que a Verisign aplicou aos DNS´s.

    Para mim é o mesmo problema que apenas difere na posição na hierarquia do DNS e claro na proporção do problema que a medida aplicada a um ccTLD tem. Se tivesse havido medidas penalizadoras na altura em que empresas como a Caleida mudaram os DNS`s secalhar a Verisign não se tinha posto nisto.
    Re:*.dns (Pontos:1)
    por taf-7arte em 20-09-03 12:08 GMT (#37)
    (Utilizador Info) http://taf.net

    "Seguindo o teu raciocinio o que "cria" um dominio é o *. que a Verisign aplicou aos DNS´s."

    Exactamente! Aliás eu disse isso explicitamente no meu comentário.

    Só que há uma diferença: os domínios que a Verisign criou com o * NÃO são dela, enquanto que os subdomínios criados dentro de um domínio que é propriedade do fulano de tal são também propriedade desse fulano de tal, que tem o direito de fazer o que quiser com eles.

    Re:*.dns (Pontos:1)
    por NeVErMinD em 20-09-03 12:59 GMT (#38)
    (Utilizador Info)
    Ok, tas a analisar o problema juridicamente em relação á aquisição de dominios/subdominios eu tou a analisar tecnicamente o que a medida pode ter de "ilegal" na sua implementaçao(daí ter falado em protocolos num POST acima). Se juridicamente o cenário difere, tecnicamente sao iguais e ambos violam uma serie de aspectos.
    Re:*.dns (Pontos:1)
    por taf-7arte em 20-09-03 13:42 GMT (#39)
    (Utilizador Info) http://taf.net

    "eu tou a analisar tecnicamente o que a medida pode ter de "ilegal" na sua implementaçao"

    Nope.
    O que eu estou a dizer é que em termos estritamente técnicos os subdomínios existem de facto porque estão configurados no DNS. Nada impede (em termos de normas técnicas) a que existam configurações do DNS com * para subdomínios que são efectivamente propriedade de alguém.

    O que é tecnicamente errado é para domínios que não são de ninguém (e que portanto "não existem" neste sentido) o DNS responda como se existissem. Aí sim as normas estão a ser violadas.

    Se não concordas com isto, diz-me concretamente quais os pontos dos RFCs é que não estão a ser respeitados no caso dos subdomínios.

    Quem não vai gostar disto.. (Pontos:2)
    por biduxe em 16-09-03 22:40 GMT (#10)
    (Utilizador Info)
    é a MS, cujo site msn.com etc vai perder muitos hits.
    ------ EOFim.
    Re:Quem não vai gostar disto.. (Pontos:2)
    por Lowgitek em 16-09-03 23:08 GMT (#12)
    (Utilizador Info) http://www.youthinkwedo.com
    msn.com = http://www.microsoft.com/windows/ie_intl/404.asp?404;http://www.microsoft.com/windows/ie_i ntl/pt/start/default.asp
    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:Quem não vai gostar disto.. (Pontos:2)
    por biduxe em 16-09-03 23:33 GMT (#13)
    (Utilizador Info)
    Ah pois.. É isso...
    Há tanto tempo que não via!
    Não deixa saudades
    ------ EOFim.
    monopolio (Pontos:2)
    por humpback em 17-09-03 8:39 GMT (#15)
    (Utilizador Info) http://www.felisberto.net
    bem quanto ao resto apenas o tempo dirá, quanto aos filtros anti-spam:

    humpback@www humpback $ whois hdkjshkfjhskjdfhksjdfhksjhdf.com
    No match for "HDKJSHKFJHSKJDFHKSJDFHKSJHDF.COM".
    humpback@www humpback $ ping hdkjshkfjhskjdfhksjdfhksjhdf.com
    PING hdkjshkfjhskjdfhksjdfhksjhdf.com (64.94.110.11) 56(84) bytes of data.

    O dominio não existe nas bases de dados do whois (nem podia senão os outros registares não podiam registar) por isso é basear o anti-spam no whois.


    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism

    alternativas (Pontos:3, Informativo)
    por higuita em 17-09-03 13:32 GMT (#21)
    (Utilizador Info)
    bem, acho que vai ser desta que vou testar decentemente o opennic, a alternativa aos root-servers da verisign, com novos tld e tudo...
    pelo que sei, apenas existe colisao nos .biz, mas tambem sao dominios que nao me interessam...

    fica aqui o url para quem quisers:

    http://www.opennic.unrated.net/

    Higuita
    Re:alternativas (Pontos:2)
    por Lowgitek em 17-09-03 16:51 GMT (#23)
    (Utilizador Info) http://www.youthinkwedo.com
    Obrigado pela dica. Prefiro nao ter biz, não me lembro de ter visitado nenhum site pertecente a esse dom, do que ver os meus direitos simplesmentre abusado por uma compania qualquer do outro lado do mundo.

    Tb não admito ser incluindo em nenhum sistema opt-in sem qualquer hipotese te dizer que não.
    Ao Orgulho segue-se a ruína, e a arrogância vem antes da queda (Prov. 16:18)
    Re:alternativas (Pontos:3, Esclarecedor)
    por spyder em 17-09-03 17:44 GMT (#24)
    (Utilizador Info)
    Isso nao te resolve nada.
    A VeriSign gere, alem de alguns dos rootservers, os gTLD (global TLD) servers para .net e .com (o .org passou recentemente para a PIR), da mesma forma que a FCCN gere o ccTLD .pt. Sao coisas diferentes e completamente separadas.
    A OpenNIC apenas tem uma infraestrutura paralela aos root-servers "normais", com alguns TLDs extra, mas continua a ir buscar os TLD (ccTLD e gTLD) a quem os gere. Vao buscar o .pt `a FCCN, o .org `a PIR, e o .com/.net `a VeriSign. A alteracao da VeriSign foi nos gTLD, por isso continuas a levar com os wildcards na mesma, independentemente dos rootservers que uses.


    Re:alternativas (Pontos:2)
    por higuita em 17-09-03 20:35 GMT (#26)
    (Utilizador Info)
    pois, assim que activei unicamente o opennic, foi logo a 1º coisa a testar e apercebi-me logo que nao resolve...
    mas pronto, parece que funciona bem, acho que vou ficar com ele e deixar de usar os root servers da verisign...

    com sorte, eles duplicam o .com e o .net sem o wildcard ou entao instalo os patchs dos servidores de DNS para ultrapassar o problema

    para ja', apanho com algum spam que possa escapar as outras regras

    Higuita

     

     

    [ Topo | FAQ | Editores | Contacto ]