VeriSign aangeklaagd vanwege SiteFinder

Een bedrijf dat zich bezighoudt met het aanbieden van een zoeksite op internet is een rechtszaak ter waarde van 100 miljoen dollar begonnen tegen VeriSign. Dit bedrijf heeft afgelopen maandag een zogenaamd wildcard domein ingesteld voor niet bestaande .com- en .net-sites. Sinds de dienst, SiteFinder genaamd, geïntroduceerd is hebben al verschillende bedrijven en belangenorganisaties negatief gereageerd op het nieuws. Zij vinden namelijk dat deze 'dienst' van VeriSign geen kernactiviteit is. Het bedrijf verdedigt zich echter door te zeggen dat het bedrijf slechts een extra dienst op de markt heeft willen brengen om het gebruikers makkelijker te maken om een site terug te vinden.

De rechtszaak is aangespannen door Popular Enterprises LLC, het moederbedrijf van zoeksite Netster.com. Dit bedrijf heeft VeriSign aangeklaagd vanwege het overtreden van antitrust-wetten, oneerlijke concurrentie en overtredingen van een andere wet die bedriegelijke en oneerlijke handelsmethoden verbiedt. Ook is er kritiek op het feit dat VeriSign nu inzicht zou kunnen krijgen in e-mails en logingegevens die per ongeluk naar niet bestaande sites verzonden worden. Hierover heeft Brian O'Shaughnessy, woordvoerder van VeriSign, echter laten weten dat er door het bedrijf niets met de gegevens gedaan zal worden:

It also is raising privacy concerns that VeriSign will have access to log-in names and passwords that are sometimes included in Web address queries and information in e-mails sent inadvertently to non-existent Web addresses, he added.

VeriSign's O'Shaughnessy said the company's technicians were looking into the complaint about SiteFinder thwarting anti-spam software, but said the privacy complaint was a "red herring" since the company would not keep such information.

IT-banen

Reacties (28)

Verwijderd 20 september 2003 03:03

Ik heb het 'probleem' binnen mijn netwerk inmiddels verholpen. Op mijn DNS server stuur ik alles dat eindigd op sitefinder.verisign.com en sitefinder-idn.verisign.com door naar een niet bestaand IP adres in mijn netwerk (192.168.123.253). Razendsnel weet de browser dat het IP adres niet bereikbaar is en vervolgens krijg ik weer de standaard auto.search.msn.com pagina zoals ik altijd had

Die MSN pagina is tenminste in het register ingesteld en dus kan mijn gestuurde data niet in verkeerde handen terecht komen

edit: Jan de Groot heeft gelijk, geen 255 gebruiken

alfatrion @Verwijderd • 20 september 2003 07:01

Zo te zien heb je een toekomst voorspellende DNS uitgevonden!

Razendsnel weet de browser dat het IP adres niet bereikbaar is en vervolgens krijg ik weer de standaard auto.search.msn.com pagina zoals ik altijd had.

Tja het is maar wat je liever hebt!

_JGC_ @Verwijderd • 20 september 2003 11:47

Op mijn DNS server stuur ik alles dat eindigd op sitefinder.verisign.com en sitefinder-idn.verisign.com door naar een niet bestaand IP adres in mijn netwerk (192.168.123.255).

Ik hoop voor jou dat je het 192.168.123.0/24 subnet niet gebruikt, je hebt nml het broadcast adres te pakken met die 255, alle hosts in dat netwerk krijgen dus die HTTP request binnen

Beaves 20 september 2003 01:25

Ook is er kritiek op het feit dat VeriSign nu inzicht zou kunnen krijgen in e-mails en logingegevens die per ongeluk naar niet bestaande sites verzonden worden. Hierover heeft Brian O'Shaughnessy, woordvoerder van VeriSign, echter laten weten dat er door het bedrijf niets met de gegevens gedaan zal worden:

Dit vind ik een vreemd stuk, als je bla.com gebruikt i.p.v. blaa.com en je stuurt dus naar de verkeerde site een passwd dan kan VeriSign die toch niet lezen?

Want als er achter het niet bestaande domein geen server staat die de toegezonden gegevens ontvangt verdwijnen de gegevens omdat ze niet afgeleverd kunnen worden. Naar mijn weten draait VeriSign geen servers voor elk domein, dat zou technisch onhaalbaar zijn.

Wat Verisign doet is de DNS requests opvangen en kijken of het domein bestaat, zo ja dan is er niets aan de hand en zo ja, dan wordt er een pagina gemaakt waarop VeriSign mogelijke domeinen opgeeft die de gebruiker zoekt.

edit:

Na overleg op IRC met Teckna blijkt dat VeriSign wel degelijk alle domeinen heeft voorzien van een soort redirict naar een server. Dan kan het dus wel zo zijn dat VeriSign gegevens ontvangt die niet voor ze bedoeld zijn.

Probeer maar eens met telnet te verbinden met 64.94.110.11 poort 25, als antwoord krijg je dan: 220 VeriSign mail rejector (Postfix)

deadinspace @Beaves • 20 september 2003 01:57

Dit vind ik een vreemd stuk, als je bla.com gebruikt i.p.v. blaa.com en je stuurt dus naar de verkeerde site een passwd dan kan VeriSign die toch niet lezen?

Huh? Natuurlijk wel.

Ik mail naar deadinspace@wteakers.net. Normaalgesproken zou wteakers.net niet resolven, dus de MTA (Mail Transport Agent, mailserver) die ik gebruik om te mailen (lokale exim in mijn geval) geeft mij mooi mijn mail terug dmv een bounce.

Dankzij VeriSigns actie echter, resolved wteakers.net gewoon, en wel naar 64.94.110.11 (het IP van hun sitefinder geval). De MTA zal dus de mail proberen te versturen naar 64.94.110.11! Als VeriSign dus die mail accepteert, dan kunnen ze hem ook lezen. Ze zouden hem daarna ook nog eens kunnen bouncen, zodat je niet eens doorhebt dat ze hem gelezen hebben.

Dit is overigens niet wat VeriSign op dit moment doet; voorzover ik weet accepteert de MTA op 64.94.110.11 geen mails. Maar VeriSign hoeft de configuratie van hun MTA maar aan te passen, en ze krijgen die mail gewoon binnen.

Want als er achter het niet bestaande domein geen server staat die de toegezonden gegevens ontvangt verdwijnen de gegevens omdat ze niet afgeleverd kunnen worden.

En dat is nou juist het probleem... Dankzij VeriSigns actie "bestaat" elk .net en elk .com domein!

Bovendien verdwijnen mails niet... De MTA die probeert te deliveren bij een niet bestaand of niet bereikbaar domein zal een bounce genereren

Naar mijn weten draait VeriSign geen servers voor elk domein, dat zou technisch onhaalbaar zijn.

Dat hoeven ze niet te doen; ze hoeven alleen voor 64.94.110.11 een MTA te draaien, en dat doen ze ook.

Een voorbeeldje met telnet:

[marcelm@something marcelm]$ telnet wteakers.net smtp
Trying 64.94.110.11...
Connected to sitefinder-idn.verisign.com.
Escape character is '^]'.
220 VeriSign mail rejector (Postfix)
HELO meh
250 OK
MAIL From: ***@***.**
250 Ok
RCPT To:deadinspace@wteakers.net
550 <unknown[*.*.*.*]>: Client host rejected: The domain you are trying to send mail to does not exist.
QUIT
221 Bye
Connection closed by foreign host.

Zoals je ziet kan ik (en dus ook een mailclient) met een MTA op het niet-bestaande domein "wteakers.net" praten. Hun MTA weigert de mail dus zodra ze zien dat ik naar een niet-bestaand adres probeer te mailen (zie de "Client host rejected"). Ze zouden die MTA makkelijk zo in kunnen stellen dat hij de mail gewoon geaccepteerd had, en dan hadden ze mijn mail gehad - zonder dat ik het door heb.

Wat Verisign doet is de DNS requests opvangen en kijken of het domein bestaat, zo ja dan is er niets aan de hand en zo ja, dan wordt er een pagina gemaakt waarop VeriSign mogelijke domeinen opgeeft die de gebruiker zoekt.

Er wordt geen "pagina gemaakt aan de hand van een DNS request"... DNS doet alleen hostnames resolven naar IPs, dat heeft niks met websites te maken.

De truuk is dat alle niet-bestaande hostnames resolven naar 64.94.110.11 . Dat betekent dat mensen die naar niet-bestaande hostnames surfen ook op die machine uitkomen, en op die machine staat een HTTP server van VeriSign die de sitefinder presenteert.

Maar het betekent dus ook dat mensen die naar een niet bestaand domein mailen met de SMTP server op 64.94.110.11 praten. Het betekent ook dat mensen die naar een niet bestaand domein FTP-en op hun FTP server uitkomen. Als VeriSign op die bak van hen een IRC server zou installeren, dan zouden mensen die met irc.wteakers.net connecten VeriSigns IRC server aan de lijn krijgen.

Zoals je ziet gaat dit hele geinje wel iets verder dan een sitefinder website.

.

edit:
Het voorbeeld-domein dat ik gebruikte (twaekers.net) resolvde niet naar VeriSigns sitefinder, maar naar iets soortelijks, en dat had ik niet door (wat meteen even aantoont hoe kut dergelijke dingen zijn). Ik heb de voorbeelden even aangepast naar wteakers.net, welke wel naar VeriSigns sitefinder resolvet.

arjankoole

Bedrijfsnieuws

@deadinspace • 20 september 2003 22:30

Hun MTA weigert de mail dus zodra ze zien dat ik naar een niet-bestaand adres probeer te mailen

die opent alleen wel weer een compleet nieuw probleem: de infinite bouncers. (nou ja, tot max hops bereikt is).

ik heb het een keer gehad: een persoon stuurde een attachment vanaf een casema adres naar een klant van ons. Die attachment was echter zo'n 17MB groot, wij accepteren maar 15, casema een stuk minder. We hadden dus op een gegevens moment een mailtje van 20+MB heen en weer bouncen, die met iedere bounce groter werd.

het was toen maar de vraag wie het eerste plat ging met z'n mailserver. (dat was casema trouwens).

erg leuk als je dat met een noodvaart heen en weer ziet bouncen tussen mailservers.

Bart B @Beaves • 20 september 2003 01:38

wat verisign bij websites doet is:
1)achter ieder domein wat niet verbonden is aan een IP,doorgeven dat deze wel is verbonden met een IP(namelijk die van verisign)
2)Het betreffende IP poort 80 gebruiken om een redirect te sturen naar hun site.

technisch zou je ook kunnen voorstellen dat ze niet alleen poort 80, maar ook alle andere poorten (telnet, SMTP, POP) redirecten naar hun server, en het is dan inderdaad ook mogelijk om gevoelige informatie te registreren.

[edit] Blijkbaar doen ze het al met email. Dan zitten ze wat mij betreft behoorlijk in de gevarenzone.

Dat verisign een website toont voor foute adressen van onbeveiligde websites kan ik nog wel snappen. Maar wat het voordeel is van een email-server die dit doet ontgaat me in het geheel. Er is geen voordeel voor de internetgebruikers, en het protocol kan al eeuwen omgaan met de situatie dat een adres niet bestaat.

SPee @Beaves • 22 september 2003 09:13

Nou, dan zullen ze veel spam krijgen

Deem 20 september 2003 01:24

Ik denk dat het vanaf nu afgelopen is met SiteFinder. Als dit doorgezet word kan VeriSign inpakken en wegwezen.

Ik begrijp niet waarom een bedrijf als VeriSign, met zo een belangrijke taak, er zo in zijn eentje misbruik van kan maken.

kodak

Bedrijfsnieuws

@Deem • 20 september 2003 02:30

Met wat naspeuren wordt het duidelijker: bij Verisign wordt er niet gedacht aan de verantwoordelijkheid tegenover de gemeenschap, maar meer aan de financiele voordelen voor het bedrijf.
Zo is er een paar dagen terug door de Federal Trade Commission besloten dat ze ook een zeer verwerpelijke marketing truck ongedaan moesten maken die ze in 2002 hadden uitgehaald, waarbij klanten van concurenten voorgelogen werden dat ze bij verisign hun domeinnaam registratie moesten verlengen.
Tot mei 2002 zaten hun aandelen nog in de vrije val en klimmen ze pas weer sinds een paar maanden.
De bedrijfsresultaten vallen ook flink tegenvergeleken met concurenten en echt winst kunnen ze niet maken.
Aangezien de FTC bij wijze van straf de komende 5 jaar de marketing strategie van verisign in de gaten houd, om nog meer vuile trucks tegen te gaan, zullen ze binnenkort waarschijnlijk zonder tussenkomst van de rechter ook wel moeten bijdraaien naar meer fatsoenlijke marketing praktijken.

Maartenr @Deem • 21 september 2003 15:07

Ik vind het veel erger dat een top level domain (TLD) beheerder een spelletje speelt met een (voor het internet) belangrijke DNS server die niet werkt volgens de officieele internetstandaarden (RFCs)

Hoe kan een bedrijf Verisign als trusted partner nu nog serieus nemen? Vergeet niet dat zijn ook certificaten uitdelen, zijn die nog wel volgens de specs nu?

Hoe kan het dat het internet op deze manier om zeep wordt geholpen op een dusdanig niveau en met een dusdanige impact door een commercieel bedrijf?

Weet iemand wie Verisign de bevoegdheid gegeven om TLD te spelen? Dan moeten we daar dus klagen.

pstalman @Deem • 20 september 2003 08:58

Inderdaad, in principe is het concurrentie vervalsing.

je moest eens weten hoeveel extra hits ze hier mee krijgen.

--
We didn't find: "l;ajsdl;fjl;sjafl;jsl;adjfljksadf;ljl;sajdfl;jsadlfjl;asdf.com"
There is no Web site at this address.

--
beetje overkill

ReLight 20 september 2003 09:26

Okey maar is het niet zo dat MS dat met hun auto search pagina voor browsen (niet op net & com nu natuurlijk) ook doet ?

Is misschien wel in registry te tweaken of zo, maar het gegeven blijft.

En het effect is het zelfde. Vanaf dat ze dat instaleerde is het het aantal MS site bezoeken ook gestegen. Netdat dat default MSN de homepage is.

edit:typo

Brons @ReLight • 20 september 2003 11:04

MS doet dat ook met IE maar dat kan je gewoon uitzetten, of een andere browser pakken.

Dit kan je ook wel 'uitzetten' maar het is net iets moeilijker en een non-tweaker zal het zeker niet snel lukken.

Verwijderd @ReLight • 20 september 2003 11:40

Nee, er is een groot verschil - dat word gedaan op de client kant, dit op de server kant en is dus moeilijker om uit te zetten.

Verwijderd @ReLight • 21 september 2003 11:37

Wat microsoft doet is gewoon de browser, ipv een error page van dns name cannot be resolved (dit komt dat de DNS server deze fout melding retouneert) doet VeriSign het door geklooi met de DNS servers. We krijgen geen fout melding meer van de DNS servers, want elk domein bestaat nu gewoon. En erg veel programma (voor mail) controleren domeinamen via DNS systeem (zou niet weten hoe anders) en dat is nu onmogelijk gemaakt. VeriSign wordt binnen no-time gebanned bij de programmeurs. Denk genoeg lui sitefinder zullen blokkeren en hun ip's ook...

Ekenniretep 20 september 2003 10:02

VeriSign valt natuurlijk uit de lucht:

Het bedrijf verdedigt zich echter door te zeggen dat het bedrijf slechts een extra dienst op de markt heeft willen brengen om het gebruikers makkelijker te maken om een site terug te vinden.

Het valt me op met wat een geldhonger VeriSign tewerk gaat, onder het mom van 'goede bedoelingen'. Kan je natuurlijk verwachten van een beursgenoteerde privé-onderneming.
Dan geldt er maar 1 doel, namelijk zoveel mogelijk geld verdienen.

Ik begrijp ook niet goed waarom dat het domein-beheer uitbesteedt wordt aan privé-ondernemingen met winstoogmerk. Dan verhoog je toch de kans op vieze praktijken waarbij elke objectiviteit, die je toch wel mag verwachten in deze materie, zoek is.

[admin edit]
Reacties ff samengevoegd <img src="/g/s/wink.gif">

Ekenniretep @Ekenniretep • 20 september 2003 10:06

[admin edit]
Reacties samengevoegd. <img src="/g/s/wink.gif">

Brons @Ekenniretep • 20 september 2003 11:06

[off-topic] je had ook gewoon de edit knop in kunnnen drukken

[/offtopic]

Dope-E 20 september 2003 01:27

VeriSign had wat beter na kunnen denken wat de gevolgen konden zijn van deze actie... Een beetje weldenkend mens, die grote affiniteit met internet heeft, had dit lang van te voren kunnen voorspellen!

De geloofwaardigheid als beheerder van de .com en .net TLD's is hierdoor behoorlijk aangetast. Ik ben benieuwd hoe lang ze nog met die business bezig mag/zal blijven.

Quentin 20 september 2003 11:13

Euhm, ik snap het niet...

Als ik www.ditadressbestaatnietblabla.com intype in IE dan krijg ik anders helamaal geen sitefinder maar gaat IE gewoon de standaard actie voor niet bestaande adressen uitvoeren. D.w.z met je default zoekmachine (normaal msn, ik heb deze echter in google veranderd) naar die url proberen te zoeken. Ik kom dan ook hier terecht:
http://www.google.com/search?q=www.ditadressbestaatnietblabla.com

Brons @Quentin • 20 september 2003 11:17

Ja, het lijkt erop dat verisign de sitefinder heeft stop gezet:
$ host blabladitiserniet.net
Host blabladitiserniet.net not found: 3(NXDOMAIN)

edit:

Het lijkt erop dat mijn isp verisign eruit heeft gesloopt want sitefinder is dus nog wel up

Florimon @Brons • 20 september 2003 12:11

ik denk dat jouw ISP, net als vele andere, de patch voor BIND heeft geinstalleerd, waardoor BIND voor niet bestaande domeinen dit weer netjes meldt ipv met de SiteFinder terug te komen.

eamelink 20 september 2003 10:20

Hmmm, ze hebben de servers inmiddels platgelegd... Ik kan niet meer pingen naar onbekende adressen, hij resolved ze natuurlijk nog wel.

Neelix 20 september 2003 14:44

Een bedrijf dat zich bezighoudt met het aanbieden van een zoeksite op internet is een rechtszaak ter waarde van 100 miljoen dollar begonnen tegen VeriSign.

Sinds wanneer heeft een rechtzaak een waarde ?!?