VeriSignが全ての未登録.COM、.NETドメインをハイジャック 123
ストーリー by Oliver
ちゃんとNXDOMAINを返せ 部門より
ちゃんとNXDOMAINを返せ 部門より
本家より。.COMと.NETトップレベルドメインを管理するVeriSignが今朝より.COMと.NETのDNSゾーンにワイルドカードAレコードを設定した。登録されていないドメインのホストを検索すると必ず64.94.110.11が返ってくるのだ。このアドレスではHTTPとSMTPのサーバが待ちか構えている。(実装に関するホワイトペーパ[PDF])
簡単に説明すると、たとえばhttp://www.example.comに接続しようとして、誤ってhttp://www.exmaple.comと入力すると、 sitefinder.verisign.comに飛ばされてしまうのだ。いまはまだ簡素なページだが、近い将来、広告が大量に掲載されるのは間違いないだろう。HTTP以外のプロトコルへの影響も大きく、これまではタイプミスをした場合にはドメインが存在しない、という単純明解なエラーメッセージが返されていたのが、今後は原因不明のタイムアウトや謎のエラーメッセージに悩まされることになる。
ネットの基幹に関わることであるにもかかわらず、この変更は事前の大々的な告知なしに決行された。
ためしに、 (スコア:5, おもしろおかしい)
・・・登録済みだった(鬱。
再び、http://www.hogehoge.comで試してみた。
・・・・・・・こっちもかよ。
Re:ためしに、 (スコア:2, おもしろおかしい)
・・・・・・。
気を取り直して http://www.none.com 。
・・・・・・。
けっ
Re:ためしに、 (スコア:1)
xx.comも
xxx.comも
:
続く続く・・・
#今まで一番カッコイイと思ったドメインはhttp:// [z.com]です。
Re:ためしに、 (スコア:1, おもしろおかしい)
こんなのまであるんだものなぁ。
Re:ためしに、 (スコア:1)
Re:ためしに、 (スコア:2, おもしろおかしい)
ありえない…
Re:ためしに、 (スコア:1)
くっ、 (スコア:1, おもしろおかしい)
こんなのまで取られてます
# え?これは違うって?
Re: ためしに、 (スコア:2, 参考になる)
BIND9パッチ出ました (スコア:5, 参考になる)
http://www.isc.org/products/BIND/delegation-only.html
named.conf に以下を追加にょ。
--
zone "com" {
type delegation-only;
};
zone "net" {
type delegation-only;
};
--
HIRATA Yasuyuki
Spam対策が無意味に (スコア:4, 興味深い)
うちのサーバでは spam 対策の一環として envelope-from が存在しないドメインの場合に受取りを拒否しています。 でも、こんな設定されると、どんなドメインに対しても A RR が帰ってしまうので受け取ってしまうので困っちゃう...
HIRATA Yasuyuki
Re:Spam対策が無意味に (スコア:1, 参考になる)
Re:Spam対策が無意味に (スコア:2, 参考になる)
たとえば、Postfix であれば、 smtpd_sender_restrictions = reject_unknown_sender_domain とするだけで、存在しないドメイン名なら拒否します。 でも、存在しないドメインでも何らかのアドレスが返ってくる場合には、 ソースの書き換えが必要だと思います。
(1回ソースの書き換えする程度ならそんなに手間じゃないけど、 毎回それをするのはコストがかかるのでイヤーンです。)
HIRATA Yasuyuki
Re:Spam対策が無意味に (スコア:1)
という方法でフィルタリングしている方、結構多いのではない
でしょうか?結構迷惑こうむる管理者多くなるのではないかな?
存在していないサイトは”存在していない”と返して欲しい。
bind-9.2.2使っているから”存在していない”と返すパッチ、
早く欲しいな。存在してないんだから”存在していない”
・・・あたりまえのこった。
-- gonta --
"May Macintosh be with you"
不当占居 (スコア:4, すばらしい洞察)
Re:不当占居 (スコア:2, おもしろおかしい)
みんつ
Re:不当占居 (スコア:2, 参考になる)
bind8ですが (スコア:3, 参考になる)
bind9(9.2.2)のソースに適用できるか試してみたのですが、bindの内部構造がよくわかってない私には無理でした。9向けのパッチを発掘or開発されたらぜひ。
なお、この上記パッチのURLは私が探したモノでなく、某所で教えていただいたモノです。万一モデレートされた場合は私でなく教えてくださった皆さんにたいしてってことで。
-- やさいはけんこうにいちば〜ん!
Re:djbdns用も (スコア:3, 興味深い)
わたしもbind9のソースを見ましたが、ns_resp.cってのがそもそもないし、発掘するかこれから勉強するか(遅いって。
Re:bind9は (スコア:2, 参考になる)
この発言のリプライの中に別のpatchの所在も書かれて [exorsus.net]います(こちらは/.からのアクセスを弾く)。 リプライの中には
iscのbuildしたpatchがもうすぐでるとも書かれていますね。
後者のpatchはnamed.conf内でIPアドレスを指定できるもので、.netや.com問わず同じ事をしているものに対しても有効でしょう。
(複数指定できるのかな、source見ただけじゃ解からないのが悲しい) iscのpatchも待って、使いやすいものを選ぶ、でよいのかな。
勝ち組企業なだけに (スコア:3, 参考になる)
今後ますます強い影響力を持つようになるのが確定している勝ち組企業なだけに、
今回のような強引な行動を起こしたというのは、重大事件だと思う。
Re:勝ち組企業なだけに (スコア:2, すばらしい洞察)
シェアを取った企業は Microsoft 化する。
ソース見てみた。 (スコア:3, 興味深い)
JavaScript満載だし、noscriptの時は
http://verisignwildcard.112.2O7.net/b/ss/verisignwildcard/1/G.2-Xpd-S
こんなのを読み込んでるんですけど。。
中身は2*2の真っ白のgifファイル。
Big Brother is Watching You (スコア:5, 興味深い)
いわゆる「Webバグ(盗聴器)」というやつ。
画面のURLには、元のアクセス先URLが引数で入ってるから、これがReferer:で 2o7.net に送信されるわけですな。
どの人がいつどこ(の期限切れドメイン)に行ったかが、2o7.net に記録されるわけですな。
Cross Site Scripting脆弱性がありますなあ (スコア:3, 参考になる)
http://www.exmaple.com/</title><img src=http://www.microsoft.com/billgates/images/billg-1.jpg>
まず、http://www.verisign.com/ で有り難いcookieを食べてから行ってみよう。
Re:Cross Site Scripting脆弱性がありますなあ (スコア:3, すばらしい洞察)
http://www.exmaple.com/</title><img/src=http://www.microsoft.com/billgates/images/billg-1.jpg>
( ̄□ ̄lll (スコア:2, 興味深い)
っていうか・・・・・・。
そんなのよりも申請直後30分でwhois切り替わっちゃったり
3日たっても切り替わんなかったりっていう
ムラの方を何とかしてください・・・>米国べりさいん様
++mermaid++
サイト検索サービスに直結 (スコア:2, 興味深い)
#SPAM 除けが…
みんつ
なにげに.ccも (スコア:2, 参考になる)
Re:なにげに.ccも (スコア:1)
はたして企業は (スコア:2, すばらしい洞察)
ほんとに?
タイプミスして飛ばされるですよね。使ってる側は「間違った!くそ!」といいながら、訂正するわけですから広告見ないし、
2度間違ったとして「またへんなページが出やがった、むかつくんだよ!」とその広告がとても腹立たしいものに思えない
でしょうか。
そんなところに広告だす? …。
Re:はたして企業は (スコア:1)
一部の企業にとっては、どんな印象を持たれるかよりも、露出を得ることが最優先なんでしょう、きっと。
written by こうふう
このハイジャックで (スコア:2, 興味深い)
想像しただけで(以下略)
Postfixも対応 (スコア:2, 参考になる)
postfix-jp:03378 より: Postfix 20030917 で対応。 2.0 向けのパッチもあります。
詳しくは、 RELEASE NOTE [porcupine.org] を参照。
HIRATA Yasuyuki
自然発生型DDOS (スコア:1)
みんな、どれくらいタイプミスしてるか・・・なんてデータ見た事ないぞ。
Re:自然発生型DDOS (スコア:4, 興味深い)
ちゃんとアクセスカウンタ付きで、「あなたは 210770人目のタイプできない人」と出てきて苦笑したことが何度かあります。
Re:自然発生型DDOS (スコア:2, 参考になる)
ドメイン屋にしてみれば、ノドから手る出るほど欲しい
マーケティング資料ですね。
SMTPについては (スコア:1, 興味深い)
SPAMの温床になるかと思いきや、全てのメールがDATA時に拒否される仕組みになっているようですね。
RCPT TOが何でもかんでも受け付けるのでちょっと焦りましたよ(笑)
Re:SMTPについては (スコア:2, 参考になる)
220 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 ready
THIS
250 OK
IS
250 OK
A
550 User domain does not exist.
PEN
250 OK
!!
221 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 closing transmission channel
迎撃の用意あり? (スコア:1)
>User-agent: *
>Disallow: /
つまらんのう。
絶対、なんか面白い攻撃が可能だと思うんだが。
Re:迎撃の用意あり? (スコア:2)
あとはrobots.txt見ないロボットには意味無いだろうし。
お行儀が悪いものに限ってrobots.txtを無視するし。
攻撃の予感… (スコア:1)
例え話 (スコア:1)
名前と電話番号の関係にたとえ、DNSはどんな名前からも
電話番号を教えてくれる104みたいなものだ、という教え
方をする。
この場合、えーーと・・・「104が常に**の電話番号を
返す。」**は何だろう?また、「お客さまのおかけに
なった電話番号は現在使われておりません。」が、一応
使われていることになっていて妙なメッセージを流す・・・
IETFとかで「ざけんじゃねぇぞ」決議が採択されないかな?
-- gonta --
"May Macintosh be with you"
Re:例え話 (スコア:3, おもしろおかしい)
ひらたく言えば
・今まで
間違えた→「お客様のおかけになった電話番号は現在使われておりません。番号をお確かめになって‥(以下略)」
・これから
間違えた→「やぁみんな、電話ありがとう!今日はとってもcoolでniceなアイテム達を紹介するよ!!
さぁ、まずはこのイカス壷を見てくれよ!この壷は霊験あらたかな‥(以下略)」
って事じゃなんでしょ。
.jpドメインも! (スコア:1, おもしろおかしい)
なんてことだ!
Re:.jpドメインも! (スコア:1)
Re:VeriSignがCOM、.NETをハイジャック (スコア:1)
昔、 (スコア:2, 参考になる)
63回提訴されても懲りない? タイプミスURL悪用のサイト運営者 [zdnet.co.jp]
報道の内容を見る限りでは、人道的にはともかく、金額的には結構な売上があったみたいですけど…
そのほかにも (スコア:2, 参考になる)
*.ac 194.205.62.122
*.cc 206.253.214.102
*.com 64.94.110.11
*.cx 219.88.106.80
*.museum 195.7.77.20
*.net 64.94.110.11
*.nu 64.55.105.9 and 212.181.91.6
*.ph 203.119.4.6
*.sh 194.205.62.62
*.tm 194.205.62.62
*.ws 216.35.187.246
Re: 取り急ぎ (スコア:2, 参考になる)
Aレコードを登録しているだけなのです。(流石にMXはやらんだろう、やったらこれ
こそ最悪だが。)
でも、これはやっちゃいけないこと。wildcardなレコードであることは、問い合わ
せた方にはまったくわからず、ドメインが存在するかどうかの確認もできないこと
になるわけなので。