Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties, 868 views •
Bron: Wired.com

Op Wired.com is te lezen dat er inmiddels door het ISC (Internet Software Consortium) actie wordt ondernomen tegen de beslissing van VeriSign om alle niet-bestaande .net- en .com-domeinen door te sturen naar hun zogenaamde SiteFinder. Het ISC is producent van de DNS-software Bind en komt binnenkort met een patch voor dit product die VeriSign's SiteFinder blokkeert. Bind wordt gebruikt op 80 procent van de Domain Name Servers (DNS) en is daarmee uiteraard het meest gebruikte software pakket hiervoor. De reden om tot het uitbrengen van deze patch over te gaan is niet genomen op basis van politieke gronden maar om te voldoen aan de wensen van hun klanten, zo stelt Paul Vixie, de directeur van ISC.

Volgens Vixie kwamen er veel klachten van gebruikers van Bind, waaronder veel ISP's. Deze laatstgenoemde klaagden met name over het feit dat veel spam-filters door de actie van VeriSign niet meer goed werken. En van de methoden die veel spam-filters gebruiken om te detecteren of een mail wel of geen spam is, bestaat uit het controleren of het domein waarvandaan de e-mail is verzonden wel bestaat. Nu alle niet-bestaande domeinnamen worden doorgestuurd naar SiteFinder is dit voor spam-filters geen goed criteria meer om op te controleren.

Internet Software Consortium "The phone has been ringing off the hook with deeply unhappy customers," he said. "We don't have a political ax to grind. Whether VeriSign should or should not have done this is not for us to decide. But we have to respond to our customers who are demanding it."

Vixie said that ISC's customers -- typically ISPs and large enterprises -- needed a fix because VeriSign's Site Finder broke their spam filters.

Vixie said a lot of spam spoofs the "from" domain, and that many ISP-level spam filters check whether incoming e-mail is from a valid domain or not. Instead of generating errors, the spam filter checks are instead being rerouted to the Site Finder service, and therefore appear to originate from a legitimate domain.

De patch voor Bind zou aanstaande donderdag beschikbaar moeten zijn.

Reacties (54)

Reactiefilter:-154051+139+28+31
Moderatie-faq Wijzig weergave
Cistron heeft VeriSign's SiteFinder ook al geblocked.
dat is erg goed nieuws
Ik kreeg hier gisteren al een waarschuwing over.
Er is door degene die mij de waarschuwing stuurde een officiele klacht ingediend bij de ICANN. De ICANN reageerd doorgaans nogal traag, vandaar de online petition. Zal hem zelf ook maar gaan tekenen.
Het argument dat hierboven wordt gebruikt dat 99% van de spam bij X of Y vandaan komt is een null argument. Niet alleen spam blokking wordt gedaan met DNS maar ook verificatie van andere zaken gaat soms via DNS. Zo kan je bij verschillende formulieren geen niet bestaande domeinen invullen. Nu kan je dus jezelf registreren bij een of andere club of bedrijf met een niet bestaand adres. Als zij geen extra check doen door ook een mailtje te sturen zal dat dus lukken. OK, een suffe beveiliging maar het is maar 1 voorbeeld. Er zijn vast meer voorbeelden te bedenken als ik meer koffie heb gedronken. :-)
Je kunt trouwens ook hier http://www.petitiononline.com/icanndns/ een petitie ondertekenen tegen die ongein van VeriSign. Stelletje apen dat het zijn... |:(
al 988 reacties :D
Zelf ben ik nr 963
Ik zou maar uitkijken met die software, want dat is niet de patch waar ze het in deze post over hebben.

De patch in de post is voor installatie op DNS servers waar bijvoorbeeld ISP's gebruik van maken. Dat heeft dus niets met je locale pc'tje te maken. Laat staan dat je met het installeren van een patch op jouw pc enig invloed kunt uitoefenen op een van die DNS servers.

Waarschijnlijk is het of iets heel anders wat gepatched moet worden of iemand probeert je een of andere file aan te smeren met alle gevolgen vandien.
edit:
Gauw heel de post weg knippen...
Bind is een domain name server van ISC. De patch waar over word gesproken gaat over Bind. Iedereen die gebruik maakt van Bind krijgt hier mee te maken. Jan Modaal hoeft er overgens niets voor te doen. De patch word door de ISPs voor hem geinstalleerd. Sommige tweakers onder ons draaien zelf een DNS server. Zij kunnen dit dan natuuwlijk wel (lokaal) uitvoeren.
lees anders http://www.tweakers.net/nieuws/28761 even door, dan snap je het wel.
Die link staat trouwens ook in het bericht...

Na een stuk of 3 edits van avon voeg ik dit er ff bij:
Internet Explorer gaf gewoon een MS search pagina als het domein niet bestond, wat verisign nu heeft gedaan is alle domeinen als het ware geregistreerd als die dat nog niet waren.
Als je naar een niet bestaande url gaat krijg je geen 'domein bestaat niet' fout maar gewoon hun pagina.
Slimme zet; maar Microsoft deed dit toch al jaren met Internet Explorer?
Het verschil tussen Microsoft en Versign het niveau waarop het gebeurt. In het geval van Miscroft kun je kiezen om en een andere brouwser te gebruiken en het gebeurde niet meer. De handelingen van Versign geven mensen niet een dergelijke keuze omdat nu het nu op het domain name resolving protol niveau gebeurt in plaats op het programma niveau!
of je zet het gewoon af bij advanced opties

* 786562 heuveltje
Slimme zet; maar Microsoft deed dit toch al jaren met Internet Explorer?
ja en nee.

IE doet weinig met DNS in dat verhaal, die ziet gewoon dat de nameservers een 'not found' geven en redirect je naar msn.com voor een overzichtje van 'wat je misschien bedoelde'.

dit gaat veel verder omdat nu de root nameservers voor .com en .net ALTIJD response geven. Dit maakt ieder domein (*.com en *.net) geldig en dus mag er email van ontvangen worden volgens spamfilters. (overigens niet eens echt een spamfilter, simpelweg RFC 822 -> de smtp standaard).

deze check wordt dus gebroken waardoor spammers nog makkelijk spam kunnen versturen.

ik ben de patch aan het testen om m'n lokale nameservers, mijn klanten (een slordige 100.000 ofzo) gaan er over een paar uurtjes geen last meer van hebben. *grom* Verisign had met z'n klauwen van NetSol / Internic af moeten blijven.
Gratis update naar nieuw virus :+

Ik denk dat dit programma/file gewoon de hosts file leeg gooit omdat sommige sites reclame zijn en dus in bij kazaalite oid in de hostsfile zijn gekomen.
edit:
Orginele post weggeknipt :(
En van de methoden die veel spam-filters gebruiken om te detecteren of een mail wel of geen spam is, bestaat uit het controleren of het domein waarvandaan de e-mail is verzonden wel bestaat.
if (IP == 64.94.110.11) {spam=true;}

moeilijk he? :+
Jiriki:
Ik krijg hier ook een error (epacity geloof ik), maar alle vreemde namen resolven naar 64.94.110.11.

Daar draait alleen geen webserver blijkbaar.
dat neemt trouwens niet weg dat verisign :r bezig is (ben trouwens petition signer nummertje 1973 alweer geloof ik)
moeilijk he?
En wat als Verisign besluit om het IP adres te wijzigen?
if IP(sjgasdkj.com) == IP(gdgjhldsfkhgsdlfg.com) {spam = true}

men zal toch niet meerdere ip-adressen voor deze troep tegelijkertijd gaan inzetten.

Eigenlijk zou IETF de TLD's weer zelf in beheer moeten nemen, en niet weggeven aan een commercieel bedrijf.
Vixie said a lot of spam spoofs the "from" domain, and that many ISP-level spam filters check whether incoming e-mail is from a valid domain or not. Instead of generating errors, the spam filter checks are instead being rerouted to the Site Finder service, and therefore appear to originate from a legitimate domain.
Wat een bullshit zeg. 99,99999999% van de spam komt zogenaamd van yahoo.com of hotmail.com; daar ga je met dit spamfilter echt niks tegen beginnen
lke spammail die tegengehouden wordt is goed... zelfs al is het maar een spreekwoordelijke druppel op een al even spreekwoordelijke hete plaat.
En de reden daarvoor is dat spam met een vals adres geweigerd wordt... Ze ziet deze spam niet omdat het blijkbaar werkt en niet omdat het niet bestaat.
Het zorgt er wl voor dat onder MSIE je niet meer bij die achterlijke MSN Search-pagina komt als je een fout maakt. :D

Desondanks toont het aan dat het Internet nog lang niet volwassen is. Dat dit zomaar gebeuren kan, zonder dat hier een degelijke organisatie achterzit, is gewoon stompzinnig. Er is dus nog niet goed gekeken (of iig niet goed genoeg gehandeld) waarop het Internet draait, en of die basis wel solide is. Jammer.
Dat dit zomaar gebeuren kan, zonder dat hier een degelijke organisatie achterzit, is gewoon stompzinnig.
er zit wel degelijk een organisatie achter: Verisign, de partij die de Root nameservers voor .com en .net tld's beheert. Het enige wat je echt kan opmerken (en dat doet op dit moment de halve planeet dus ook) is dat Verisign misbruik maakt van z'n macht.
Er is dus nog niet goed gekeken (of iig niet goed genoeg gehandeld) waarop het Internet draait, en of die basis wel solide is. Jammer.
de basis waarop internet draait is zo solide als het maar kan, anders was internet nooit zo oud en zo groot geworden als het is.

het enige wat je je moet afvragen is of een enkele commercieele organisatie zoveel macht en invloed mag krijgen op iets als een root-nameserver. maar in principe is dat dezelfde vraag stellen als 'krijgt microsoft niet teveel macht in het bedrijfsleven?'

uiteraard botsen die twee voorbeelden met elkaar, maar de strekking is duidelijk dunkt me.
Het zorgt er wl voor dat onder MSIE je niet meer bij die achterlijke MSN Search-pagina komt als je een fout maakt.
Dan zet je dat toch gewoon uit, in advanced options van MSIE?
Ik snap het nog niet helemaal.

Is VeriSign de beheerder van de root-domainservers en 'baas' van het DNS?
Ja, helemaal goed. Ga je door voor de bonusvraag? :)
Dank. :)


Tweede vraag: Is VeriSign een commercile organisatie? *huiver*
Ja :|

Verisign was ooit de enige registrar voor de .com en .net domeinnamen. Later zijn er concurrenten bijgekomen, maar ze beheren nog steeds de GTLD servers voor .com en .net.
En jij ligt er uit :)
Het antwoord is: ICANN, een door de amerikaanse staat (de eigenaar van de .COM, .NET, .GOV, .EDU, .ORG en dergelijke amerikaanse extensies) aangewezen organisatie die op zijn beurt beheer van de .COM en .NET domeinen uitbesteed aan VeriSign (vandaar dat ook alleen die twee domeinen deze bug nu hebben).
het werkt trouwens niet (toch niet bij mij)
ik ging naar http://www.ybgvsfnisokf.com (wat bij mijn weten niet bestaat, en 'k kreeg een normale error.
Vreemd hoor!
Ik krijg hier ook een error (epacity geloof ik), maar alle vreemde namen resolven naar 64.94.110.11.

Daar draait alleen geen webserver blijkbaar.
Dat is VeriSign's SiteFinder. Misschien is die (al) bezweken.
Bij mij krijg k ook helemaal nix, gewoon error dat die site er niet is. Misschien verschilt het per browser ofzo? Ik gebruik namelijk Mozilla Firebird. Maar dat de VeriSign server hem al gesmeerd is zou ook goed kunnen.
dit zit op het hoogste puntje van het dns niveau
browser zou dus niks mogen schelen :)
Bij mij gaat ie nu inderdaad naar een Verisign pagina :D
bestaat uit het controleren of het domein waarvandaan de e-mail is verzonden wel bestaat. Nu alle niet-bestaande domeinnamen worden doorgestuurd naar SiteFinder is dit voor spam-filters geen goed criteria meer om op te controleren.

Ik geloof er niks van dat ze niet kunnen checken waar de domeinnaam uiteindelijk terechtkomt? Als een browser dat kan dan ook via een programma, dan kunnen ze toch "sitefinder" toevoegen aan de spamlijst?
Punt is natuurlijk dat Verisign hier op eigen houtje een standaard breekt die al lange tijd bestaat.

Natuurlijk kan je hiervoor workarounds vinden, maar normaal gesproken moet toch eerst afgesproken worden dat 'we' het allemaal eens zijn met een nieuwe standaard voor deze toegepast wordt.

Zo laat Verisign voor haar eigen gewin dus vele bedrijven, instellingen en individuen veel werk doen om dit op te lossen.

De RIAA zou hierover eens een berekening moeten doen wat dit de industrie kost aan verloren inkomsten ;)

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True