パスワードを忘れた? アカウント作成
6532 story

VeriSignが全ての未登録.COM、.NETドメインをハイジャック 123

ストーリー by Oliver
ちゃんとNXDOMAINを返せ 部門より

本家より。.COMと.NETトップレベルドメインを管理するVeriSignが今朝より.COMと.NETのDNSゾーンにワイルドカードAレコードを設定した。登録されていないドメインのホストを検索すると必ず64.94.110.11が返ってくるのだ。このアドレスではHTTPとSMTPのサーバが待ちか構えている。(実装に関するホワイトペーパ[PDF])
簡単に説明すると、たとえばhttp://www.example.comに接続しようとして、誤ってhttp://www.exmaple.comと入力すると、 sitefinder.verisign.comに飛ばされてしまうのだ。いまはまだ簡素なページだが、近い将来、広告が大量に掲載されるのは間違いないだろう。HTTP以外のプロトコルへの影響も大きく、これまではタイプミスをした場合にはドメインが存在しない、という単純明解なエラーメッセージが返されていたのが、今後は原因不明のタイムアウトや謎のエラーメッセージに悩まされることになる。
ネットの基幹に関わることであるにもかかわらず、この変更は事前の大々的な告知なしに決行された。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ためしに、 (スコア:5, おもしろおかしい)

    by Anonymous Coward on 2003年09月16日 21時33分 (#398733)
    http://www.hoge.comをためしてみた。
    ・・・登録済みだった(鬱。

    再び、http://www.hogehoge.comで試してみた。
    ・・・・・・・こっちもかよ。
  • by yasu (7) on 2003年09月17日 20時21分 (#399432) ホームページ
    ISCのアナウンス
    http://www.isc.org/products/BIND/delegation-only.html

    named.conf に以下を追加にょ。
    --
    zone "com" {
            type delegation-only;
    };

    zone "net" {
            type delegation-only;
    };
    --
    --
    HIRATA Yasuyuki
  • by yasu (7) on 2003年09月16日 21時54分 (#398755) ホームページ

    うちのサーバでは spam 対策の一環として envelope-from が存在しないドメインの場合に受取りを拒否しています。 でも、こんな設定されると、どんなドメインに対しても A RR が帰ってしまうので受け取ってしまうので困っちゃう...

    --
    HIRATA Yasuyuki
    • by Anonymous Coward on 2003年09月16日 21時59分 (#398759)
      どういった手段で "存在しないドメイン" を確認されているのかわかりませんが、今回の場合はIPv4=64.94.110.11にマップできるホストは全て「存在しないドメイン扱い」にすれば良いのではないかと。
      親コメント
      • by yasu (7) on 2003年09月16日 22時07分 (#398771) ホームページ

        たとえば、Postfix であれば、 smtpd_sender_restrictions = reject_unknown_sender_domain とするだけで、存在しないドメイン名なら拒否します。 でも、存在しないドメインでも何らかのアドレスが返ってくる場合には、 ソースの書き換えが必要だと思います。

        (1回ソースの書き換えする程度ならそんなに手間じゃないけど、 毎回それをするのはコストがかかるのでイヤーンです。)

        --
        HIRATA Yasuyuki
        親コメント
    • by gonta (11642) on 2003年09月16日 22時00分 (#398763) 日記
      このDNS的に登録していないサイトからのメールはRejectする、
      という方法でフィルタリングしている方、結構多いのではない
      でしょうか?結構迷惑こうむる管理者多くなるのではないかな?

      存在していないサイトは”存在していない”と返して欲しい。
      bind-9.2.2使っているから”存在していない”と返すパッチ、
      早く欲しいな。存在してないんだから”存在していない”
      ・・・あたりまえのこった。
      --
      -- gonta --
      "May Macintosh be with you"
      親コメント
  • 不当占居 (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2003年09月16日 22時09分 (#398773)
    Verisign は自分の物ではない GTLD を自社の利益のために 不当に占有している。これは許されない。 Verisign からドメインの管理を剥脱すべきだ。
  • bind8ですが (スコア:3, 参考になる)

    by densuke (113) on 2003年09月16日 21時51分 (#398750) 日記
    対抗パッチ [achurch.org]があるみたいです。

    bind9(9.2.2)のソースに適用できるか試してみたのですが、bindの内部構造がよくわかってない私には無理でした。9向けのパッチを発掘or開発されたらぜひ。

    なお、この上記パッチのURLは私が探したモノでなく、某所で教えていただいたモノです。万一モデレートされた場合は私でなく教えてくださった皆さんにたいしてってことで。
    --
    -- やさいはけんこうにいちば〜ん!
    • Re:djbdns用も (スコア:3, 興味深い)

      by 9DO (15174) on 2003年09月16日 22時02分 (#398766) 日記
      既にあるようです [tinydns.org]。(本家 [slashdot.org]に書いてあった)
      わたしもbind9のソースを見ましたが、ns_resp.cってのがそもそもないし、発掘するかこれから勉強するか(遅いって。
      親コメント
  • by tristan (13657) on 2003年09月16日 22時04分 (#398769) 日記
    VeriSignは、このZDNetの記事 [zdnet.co.jp]にあるように、もはや大変な力を持っていて
    今後ますます強い影響力を持つようになるのが確定している勝ち組企業なだけに、
    今回のような強引な行動を起こしたというのは、重大事件だと思う。
  • これって何か調べてないですかね。
    JavaScript満載だし、noscriptの時は
    http://verisignwildcard.112.2O7.net/b/ss/verisignwildcard/1/G.2-Xpd-S

    こんなのを読み込んでるんですけど。。
    中身は2*2の真っ白のgifファイル。
    • by Anonymous Coward on 2003年09月16日 23時31分 (#398852)
      第三者cookieに個別IDを発行しているようですな。
      いわゆる「Webバグ(盗聴器)」というやつ。

      画面のURLには、元のアクセス先URLが引数で入ってるから、これがReferer:で 2o7.net に送信されるわけですな。
      どの人がいつどこ(の期限切れドメイン)に行ったかが、2o7.net に記録されるわけですな。
      親コメント
  • by Anonymous Coward on 2003年09月16日 22時38分 (#398797)
    http://www.exmaple.com/</title><script>alert(document.cookie)</script>
    http://www.exmaple.com/</title><img src=http://www.microsoft.com/billgates/images/billg-1.jpg>

    まず、http://www.verisign.com/ で有り難いcookieを食べてから行ってみよう。
  • ・・・・・・( ̄□ ̄

    っていうか・・・・・・。
    そんなのよりも申請直後30分でwhois切り替わっちゃったり
    3日たっても切り替わんなかったりっていう
    ムラの方を何とかしてください・・・>米国べりさいん様
    --
    ++mermaid++
  • by minz (3213) on 2003年09月16日 21時49分 (#398747) ホームページ 日記
    するつもりですか…。こういう根っこで商売するのは「アリ」なんですかね?
    #SPAM 除けが…
    --
    みんつ
  • なにげに.ccも (スコア:2, 参考になる)

    by yuu3261 (11831) on 2003年09月16日 22時24分 (#398788)
    同様の状態じゃありません?
  • はたして企業は (スコア:2, すばらしい洞察)

    by ta98 (10561) on 2003年09月16日 23時14分 (#398832) ホームページ
    >近い将来、広告が大量に掲載されるのは間違いないだろう。
    ほんとに?
    タイプミスして飛ばされるですよね。使ってる側は「間違った!くそ!」といいながら、訂正するわけですから広告見ないし、
    2度間違ったとして「またへんなページが出やがった、むかつくんだよ!」とその広告がとても腹立たしいものに思えない
    でしょうか。

    そんなところに広告だす? …。
  • by twintail (17629) on 2003年09月16日 23時31分 (#398853)
    損害を受ける企業さんはどれくらいあるんだろう...
    想像しただけで(以下略)
  • Postfixも対応 (スコア:2, 参考になる)

    by yasu (7) on 2003年09月18日 19時08分 (#399871) ホームページ

    postfix-jp:03378 より: Postfix 20030917 で対応。 2.0 向けのパッチもあります。

    詳しくは、 RELEASE NOTE [porcupine.org] を参照。

    --
    HIRATA Yasuyuki
  • by raynux (2432) on 2003年09月16日 21時37分 (#398735)
    で、落ちたりしないのかな?
    みんな、どれくらいタイプミスしてるか・・・なんてデータ見た事ないぞ。
    • by edmeister (4989) on 2003年09月16日 22時43分 (#398801)
      本家 slashdot.org を slashdor.org にタイプミスするのが多くて嫌になった人がドメイン取得して、本家に導いているのは有名ですよね。

      ちゃんとアクセスカウンタ付きで、「あなたは 210770人目のタイプできない人」と出てきて苦笑したことが何度かあります。
      親コメント
    • Re:自然発生型DDOS (スコア:2, 参考になる)

      by kyle (3923) on 2003年09月16日 22時00分 (#398762) 日記
      > みんな、どれくらいタイプミスしてるか・・・なんてデータ見た事ないぞ。

      ドメイン屋にしてみれば、ノドから手る出るほど欲しい
      マーケティング資料ですね。
      親コメント
  • by Anonymous Coward on 2003年09月16日 21時41分 (#398740)

    SPAMの温床になるかと思いきや、全てのメールがDATA時に拒否される仕組みになっているようですね。

    RCPT TOが何でもかんでも受け付けるのでちょっと焦りましたよ(笑)

    • Re:SMTPについては (スコア:2, 参考になる)

      by lucky (14762) on 2003年09月17日 3時11分 (#398975) 日記
      違うよ。何でもいいから五つ入力すると終了するようになってる。

      220 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 ready
      THIS
      250 OK
      IS
      250 OK

      A
      550 User domain does not exist.
      PEN
      250 OK
      !!
      221 snubby4-wcwest Snubby Mail Rejector Daemon v1.3 closing transmission channel
      親コメント
  • by Yuhki (17870) on 2003年09月16日 21時46分 (#398745) 日記
    件のサイトの robots.txt を拝見してみました。

    >User-agent: *
    >Disallow: /

    つまらんのう。

    絶対、なんか面白い攻撃が可能だと思うんだが。
  • by mich (6859) on 2003年09月16日 22時10分 (#398774)
    ひょっとしてVerisignはわざとDOSアタックを受けるつもりですか?
  • by gonta (11642) on 2003年09月16日 22時55分 (#398805) 日記
    DNSにおけるドメイン名とIPアドレスの関係を、
    名前と電話番号の関係にたとえ、DNSはどんな名前からも
    電話番号を教えてくれる104みたいなものだ、という教え
    方をする。

    この場合、えーーと・・・「104が常に**の電話番号を
    返す。」**は何だろう?また、「お客さまのおかけに
    なった電話番号は現在使われておりません。」が、一応
    使われていることになっていて妙なメッセージを流す・・・

    IETFとかで「ざけんじゃねぇぞ」決議が採択されないかな?
    --
    -- gonta --
    "May Macintosh be with you"
    • Re:例え話 (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2003年09月16日 23時55分 (#398871)
      何を例えようとしているのかよく分からないんだけど、
      ひらたく言えば

      ・今まで
      間違えた→「お客様のおかけになった電話番号は現在使われておりません。番号をお確かめになって‥(以下略)」

      ・これから
      間違えた→「やぁみんな、電話ありがとう!今日はとってもcoolでniceなアイテム達を紹介するよ!!
      さぁ、まずはこのイカス壷を見てくれよ!この壷は霊験あらたかな‥(以下略)」


      って事じゃなんでしょ。
      親コメント
  • .jpドメインも! (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年09月16日 23時32分 (#398854)
    架空のくそ長いurl打ち込んだらマイクロソフトの検索ページに飛ばされました。
    なんてことだ!
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...