Re: [FRnOG] Re: DNS P2P
Le Sat, Nov 26, 2011 at 12:44:09PM +0100, Damien Fleuriot [m...@my.gd] a écrit: Je cite l'article: === Pour protéger le point d?accès à son commerce en ligne, pourquoi ne pas passer un accord spécifique avec son registrar ? On peut imaginer de sortir du contrat type d?enregistrement, et négocier avec un registrar une surveillance spécifique d?un nom de domaine, afin de calquer dans l?univers électronique la protection qu?offre le bail commercial dans le monde physique. Cela porterait, par exemple, sur la capacité et la sécurité des serveurs DNS, le contrôle humain (et non logiciel) de toute opération sur le nom, l?obtention de garanties de la part des registres, une clause pénale en cas d?indisponibilité temporaire ou permanente du nom, etc. Bien sûr, cette consolidation contractuelle serait facturée à un prix plus élevé que le tarif habituel d?un enregistrement. Mais, en l?absence de toute protection légale, ne serait-ce pas un prix normal à payer pour la sécurisation de l?assise commerciale que constitue le nom de domaine ? === Le monsieur devrait sortir de chez lui. C'est ce que font des (diz|cent)aines de revendeurs, qui font tampon entre le registre intransigeant sur les délais de paiement, et des clients qui ne comprennent pas que si ils payent leur domaine 2 mois en retard, il a été détruit et revendu à une boite-à-parking. (et effectivement, ça me semble ne rien avoir à voir avec la question) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
Hello, On Mon, 28 Nov 2011 11:16:19 +0100, Damien Fleuriot wrote: On 11/27/11 11:29 AM, Stephane Bortzmeyer wrote: On Sat, Nov 26, 2011 at 12:34:11PM +0100, Damien Fleuriot m...@my.gd wrote a message of 19 lines which said: les ISP qui remontent automatiquement les valeurs si elles sont trop basses, dans leurs résolveurs. C'est une violation du protocole et il n'y a aucune solution technique à ce problème. Si on faisait un système de résolution en pair-à-pair, il y aurait aussi des tricheurs. Violation tout à fait justifiée IMO, quand on voit les abus de type tunnel DNS pour s'accrocher gratuitement aux points wifi avec portail captif par exemple. Après, chacun voit midi à sa porte ;) D'un autre coté compréhensif, quand on voit qu'on te vends de l'internet alors qu'on a accès qu'au port 80 qui passe a travers un DPI (bon je pousse un peu le bouchon loin, mais ne pas pouvoir accéder a port SSH qu'on a filé sur un accès WIFI datacenter qui commence par T et finis par 3... c'est limite... quand même et c'est du vécu). Xavier -- Xavier Beaudouin --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
Rémi Bouhl, le Mon 28 Nov 2011 12:21:24 +0100, a écrit : Le 28/11/2011 11:16, Damien Fleuriot a écrit : On 11/27/11 11:29 AM, Stephane Bortzmeyer wrote: On Sat, Nov 26, 2011 at 12:34:11PM +0100, les ISP qui remontent automatiquement les valeurs si elles sont trop basses, dans leurs résolveurs. C'est une violation du protocole et il n'y a aucune solution technique à ce problème. Si on faisait un système de résolution en pair-à-pair, il y aurait aussi des tricheurs. Violation tout à fait justifiée IMO, quand on voit les abus de type tunnel DNS pour s'accrocher gratuitement aux points wifi avec portail captif par exemple. La solution propre à ce problème c'est de ne pas laisser passer les requêtes DNS tant que le client n'est pas authentifié. Pas de faire des trucs tordus, Sauf quand ils distinguent un accès basique (que du web) d'un accès premium-bidule où tu as tout. Dans le cas basique on veut continuer à faire des trucs cracra pour que ce ne soit pas un accès Internet. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
On 11/26/11 7:09 PM, Patrick Maigron wrote: Le 26/11/2011 09:43, Marc BOZENKO a écrit : et inversement, Mr cotedor qui va emmerder la grosse boite avec un nom deposé parce que ce dernier est un vrai geek et que le mec qui s'occupe du SI ne l'a pas fait (on me dira: ok, ils avaient qu'a prendre qq1 qui connait son boulot) Z'ont qu'à demander à l'ICANN la création du nouveau TLD .cotedor pour 185000$. Pour les nouveaux TLD ils ont assez blindé la protection des marques... Même en IDN s'ils préfèrent. Alors ça les IDN on va pas en parler parce que je trouve que c'est du racket. Avant, pour pas se faire squatter, tollé père et fils enregistraient tolle.com, net org et compagnie. Maintenant, ils vont également devoir payer pour les domaines accentués. C'est du racket pur et simple. Quant aux nouveaux TLD à what mille dollars, c'en est complètement ridicule, et c'est encore une fois du racket. Pour 2 marques identiques opérant dans des secteurs différents (on peut imaginer un lacoste dans le textile, et un autre lacoste dans le bâtiment, les 2 marques seraient tout à fait légit), ça va être la course au premier qui va sortir le chèquier, en fait. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
On Sun, 27 Nov 2011 11:37:21 +0100, Stephane Bortzmeyer bortzme...@nic.fr said: On Sat, Nov 26, 2011 at 10:10:00PM +0100, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote a message of 15 lines which said: Pas du style RR avec TTL de 3600 sec on les retrouve dans des caches 6 mois (!) apres expiration. C'est un exemple imaginé ou bien une expérience vécue ? Vecu. Malhereusement je n'ai pas garde des traces (ca date quand-meme de ~2009) Je n'ai jamais compris non plus pourquoi, surtout que ca concernait que des enregistrements PTR (parfois genant quand on utilise pour envoyer du mail). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] Re: DNS P2P
Salut la ML. Le respect du TTL est une vaste farce, jusqu'à il y a peu je pensais qu'avec le déploiement massif de solutions GSLB et la publication ancienne d'articles sur le sujet (dead A record / cache négatif) que la situation s'était améliorée. Après discussion avec une certaine personne de Cisco travaillant sur le sujet, il semble que la situation ait empirée ces dernières années, il y a beaucoup de problèmes avec l'Asie mais également en Europe de ce point de vue là (il y a des ISP en France qui cachent pendant 24 ou 48 heures de manière inconditionnelle, sympa quand tu veux migrer un site web à fort trafic 24/7). J'ai rencontré des gens en formation travaillant pour diverses très grandes sociétés qui ont eu des problématiques de cache infini avec des providers asiatiques... (grands comptes banque / finance / assurance) Les articles originaux (un peu datés mais les concepts sont toujours valables) sont ici : http://www.tenereillo.com/GSLBPageOfShame.htm http://www.tenereillo.com/GSLBPageOfShameII.htm http://www.tenereillo.com/BrowserDNSCache.htm Le problème des caches DNS est un débat assez récurrent et on en avait parlé sur vegan.net avant son extinction. http://vegan.net/lb/archive/05-2009/0027.html http://vegan.net/lb/archive/05-2009/0029.html Surya De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Stephane Bortzmeyer bortzme...@nic.fr Cc : frnog@frnog.org Envoyé le : Dimanche 27 Novembre 2011 12h35 Objet : Re: [FRnOG] Re: DNS P2P On Sun, 27 Nov 2011 11:37:21 +0100, Stephane Bortzmeyer bortzme...@nic.fr said: On Sat, Nov 26, 2011 at 10:10:00PM +0100, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote a message of 15 lines which said: Pas du style RR avec TTL de 3600 sec on les retrouve dans des caches 6 mois (!) apres expiration. C'est un exemple imaginé ou bien une expérience vécue ? Vecu. Malhereusement je n'ai pas garde des traces (ca date quand-meme de ~2009) Je n'ai jamais compris non plus pourquoi, surtout que ca concernait que des enregistrements PTR (parfois genant quand on utilise pour envoyer du mail). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re: DNS P2P
Salut, Salut la ML. Le respect du TTL est une vaste farce, jusqu'à il y a peu je pensais qu'avec le déploiement massif de solutions GSLB et la publication ancienne d'articles sur le sujet (dead A record / cache négatif) que la situation s'était améliorée. Après discussion avec une certaine personne de Cisco travaillant sur le sujet, il semble que la situation ait empirée ces dernières années, il y a beaucoup de problèmes avec l'Asie mais également en Europe de ce point de vue là (il y a des ISP en France qui cachent pendant 24 ou 48 heures de manière inconditionnelle, sympa quand tu veux migrer un site web à fort trafic 24/7). J'ai rencontré des gens en formation travaillant pour diverses très grandes sociétés qui ont eu des problématiques de cache infini avec des providers asiatiques... (grands comptes banque / finance / assurance) Les articles originaux (un peu datés mais les concepts sont toujours valables) sont ici : http://www.tenereillo.com/GSLBPageOfShame.htm http://www.tenereillo.com/GSLBPageOfShameII.htm http://www.tenereillo.com/BrowserDNSCache.htm Le problème des caches DNS est un débat assez récurrent et on en avait parlé sur vegan.net avant son extinction. http://vegan.net/lb/archive/05-2009/0027.html http://vegan.net/lb/archive/05-2009/0029.html Et dans la même veine DNS-o-llesque, on peut aussi parler des serveurs Orange qui filtrent les réponses qui contiennent des @IP RFC1918, bonjour le tripatouilage abusif pour le coup ! :-( Pierre-Yves
Re: [FRnOG] Re: DNS P2P
Ainsi que Free ... Du moins, sur la moitié de leur DNS (du coup je pensais que le soucis venait de chez moi ou d'ailleurs) - j'ai vu ça avec eux et ils devaient tout mettre au même niveau il y a 2 mois. Ils protègent leurs internautes m'a-t-on dit - notamment pour des raisons est pour éviter les attaques par rebind DNS. Pas très pratique quand vous avez des réseaux internes accessibles via VPN utilisant des DNS dispos en externe (qui ne passent pas par le vpn). Par contre ça m'étonne, je n'avais pas constaté ça sur une des lignes Orange que j'utilise de temps en temps (Orange pro peut être ?) Mathieu Le 27 nov. 2011 à 15:20, Pierre-Yves Kerembellec a écrit : Et dans la même veine DNS-o-llesque, on peut aussi parler des serveurs Orange qui filtrent les réponses qui contiennent des @IP RFC1918, bonjour le tripatouilage abusif pour le coup ! :-(
Re: [FRnOG] Re: DNS P2P
Le 26/11/2011 09:39, Stephane Bortzmeyer a écrit : On Fri, Nov 25, 2011 at 09:30:45PM +0100, Marc BOZENKOm...@4com.org wrote a message of 18 lines which said: pourquoi changer un systeme qui fonctionne correctement? ;) Le bon fonctionnement n'est pas une notion binaire (ça marche / ça marche pas). Voilà pourquoi l'adage « if it ain't broke, don't fix it » est bête. oui, sauf que les fonctions que tu ne connais pas ne peuvent pas te manquer (je parlais dans ce sens hein...) Dans le cas de l'enregistrement des noms de domaine, il y a des tas de choses qu'on peut améliorer (cf. le reste du fil) par exemple pour augmenter la sécurité (actuellement, n'importe quelle Mme Milka peut se faire piquer son nom de domaine par la boîte qui a les plus gros avocats). et inversement, Mr cotedor qui va emmerder la grosse boite avec un nom deposé parce que ce dernier est un vrai geek et que le mec qui s'occupe du SI ne l'a pas fait (on me dira: ok, ils avaient qu'a prendre qq1 qui connait son boulot) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
Le samedi 26 novembre 2011 à 10:10 +0100, Stephane Bortzmeyer a écrit : On Fri, Nov 25, 2011 at 10:42:50PM +0100, N.D. f...@polygon.fr wrote a message of 19 lines which said: Peut-être pour acentrer un peu plus un système qui il n'y a pas si longtemps à fait l'actualité, et à démontré son caractère *trop* centralisé ? Le DNS n'est pas centralisé. Certainement, il n'est pas non plus distribué. Son problème est qu'il est hiérarchisé. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
On 11/26/11 11:50 AM, Stephane Bortzmeyer wrote: On Sat, Nov 26, 2011 at 12:27:39AM +0100, Mathieu Goutfreind mathieu...@gmx.fr wrote a message of 59 lines which said: accélérer la propagation des changements dans les noms de domaine. Pas besoin de nouvelles techniques, il suffit de mettre TTL à 0 à Refresh à 1. Je vois pas ce que ça va changer, avec les ISP qui remontent automatiquement les valeurs si elles sont trop basses, dans leurs résolveurs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
On 11/26/11 9:39 AM, Stephane Bortzmeyer wrote: On Fri, Nov 25, 2011 at 09:30:45PM +0100, Marc BOZENKO m...@4com.org wrote a message of 18 lines which said: pourquoi changer un systeme qui fonctionne correctement? ;) Le bon fonctionnement n'est pas une notion binaire (ça marche / ça marche pas). Voilà pourquoi l'adage « if it ain't broke, don't fix it » est bête. Dans le cas de l'enregistrement des noms de domaine, il y a des tas de choses qu'on peut améliorer (cf. le reste du fil) par exemple pour augmenter la sécurité (actuellement, n'importe quelle Mme Milka peut se faire piquer son nom de domaine par la boîte qui a les plus gros avocats). Un bon article sur ce problème d'insécurité des titulaires de noms de domaine est http://www.domainesinfo.fr/chronique/232/cedric-manara-proteger-ses-noms-de-domaine-quels-moyens-juridiques.php (écrit sous l'angle juridique mais on peut imaginer des solutions techniques pour aider à la permanence des noms http://www.w3.org/2001/tag/doc/idcc_workshop.html). Je cite l'article: === Pour protéger le point d’accès à son commerce en ligne, pourquoi ne pas passer un accord spécifique avec son registrar ? On peut imaginer de sortir du contrat type d’enregistrement, et négocier avec un registrar une surveillance spécifique d’un nom de domaine, afin de calquer dans l’univers électronique la protection qu’offre le bail commercial dans le monde physique. Cela porterait, par exemple, sur la capacité et la sécurité des serveurs DNS, le contrôle humain (et non logiciel) de toute opération sur le nom, l’obtention de garanties de la part des registres, une clause pénale en cas d’indisponibilité temporaire ou permanente du nom, etc. Bien sûr, cette consolidation contractuelle serait facturée à un prix plus élevé que le tarif habituel d’un enregistrement. Mais, en l’absence de toute protection légale, ne serait-ce pas un prix normal à payer pour la sécurisation de l’assise commerciale que constitue le nom de domaine ? === Je ne vois pas en quoi ça répond à la problématique l'ICE a fait saisir mon nom de domaine alors qu'il était tout à fait légit, puisqu'il s'agit ici de se prémunir principalement contre les pannes, erreurs humaines et actions malveillantes. Ca ne protège en rien contre une action menée dans le cadre d'une procédure judiciaire, comme dans le cas de l'ICE. Soit l'article n'est pas vraiment en rapport avec la problématique étudiée (la mainmise des US sur des TLDs particulièrement répandus), soit je l'ai mal compris. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
et inversement, Mr cotedor qui va emmerder la grosse boite avec un nom deposé parce que ce dernier est un vrai geek et que le mec qui s'occupe du SI ne l'a pas fait Ce cas est déjà largement décrit ad nauseam dans les médias (sous le nom de cybersquatting) alors que le cas inverse (la grosse boîte qui pique un nom de domaine au particulier, genre Milka, pasteur.net, jeboycottedanone, etc) n'est jamais mentionné dans les médias officiels. L'affaire Milka avait fait du bruit, quand même. Dans le genre, à l'arrivée de ma fille Ariane en 1997, j'avais chopé le DNS ariane.org. J'y avais mis quelques pages web pour partager des photos de la petiote avec des membres de ma famille qui vivaient à l'autre bout du monde... et en regardant après quelques mois les logs du serveur HTTP je me suis aperçu que toute l'industrie aérospatiale mondiale venait sur le site :-) Pour autant, je n'ai jamais rien reçu de désagréable de la part d'Arianespace ni de ses avocats, et j'ai fini par laisser tomber le DNS qui est aujourd'hui à vendre chez un parqueur de DNS... -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
Le 26 novembre 2011 15:22, p...@9online.fr a écrit : et inversement, Mr cotedor qui va emmerder la grosse boite avec un nom deposé parce que ce dernier est un vrai geek et que le mec qui s'occupe du SI ne l'a pas fait Ce cas est déjà largement décrit ad nauseam dans les médias (sous le nom de cybersquatting) alors que le cas inverse (la grosse boîte qui pique un nom de domaine au particulier, genre Milka, pasteur.net, jeboycottedanone, etc) n'est jamais mentionné dans les médias officiels. L'affaire Milka avait fait du bruit, quand même. Dans le genre, à l'arrivée de ma fille Ariane en 1997, j'avais chopé le DNS ariane.org. J'y avais mis quelques pages web pour partager des photos de la petiote avec des membres de ma famille qui vivaient à l'autre bout du monde... et en regardant après quelques mois les logs du serveur HTTP je me suis aperçu que toute l'industrie aérospatiale mondiale venait sur le site :-) Pour autant, je n'ai jamais rien reçu de désagréable de la part d'Arianespace ni de ses avocats, et j'ai fini par laisser tomber le DNS qui est aujourd'hui à vendre chez un parqueur de DNS... C'est mon cas également. J'ai un nom de famille qui correspond à celui d'une grande société (http://www.leclanche.eu/), or je possède le .net et le .fr, et jamais eu un seul souci. J'ai reçu une fois une offre d'achat (500€, sont marrants :) pour le .fr de la part d'une société tierce, et c'est tout. Dans l'affaire Milka, c'était son prénom et pas son nom. Je serais curieux de savoir si le même règlement est applicable au nom de famille. D'un autre côté, je peux faire valoir qu'ils s'appellent Leclanché (avec accent) et qu'ils ont qu'à utiliser un IDN ;) Guillaume
Re: [FRnOG] Re: DNS P2P
Perso, le probleme ne c est pas pose pour moi. T as pas le droit ou floppe d avocat :-)) Ludovic LACOSTE Le 26 nov. 2011 à 17:17, Guillaume Leclanche guilla...@leclanche.net a écrit : Le 26 novembre 2011 15:22, p...@9online.fr a écrit : et inversement, Mr cotedor qui va emmerder la grosse boite avec un nom deposé parce que ce dernier est un vrai geek et que le mec qui s'occupe du SI ne l'a pas fait Ce cas est déjà largement décrit ad nauseam dans les médias (sous le nom de cybersquatting) alors que le cas inverse (la grosse boîte qui pique un nom de domaine au particulier, genre Milka, pasteur.net, jeboycottedanone, etc) n'est jamais mentionné dans les médias officiels. L'affaire Milka avait fait du bruit, quand même. Dans le genre, à l'arrivée de ma fille Ariane en 1997, j'avais chopé le DNS ariane.org. J'y avais mis quelques pages web pour partager des photos de la petiote avec des membres de ma famille qui vivaient à l'autre bout du monde... et en regardant après quelques mois les logs du serveur HTTP je me suis aperçu que toute l'industrie aérospatiale mondiale venait sur le site :-) Pour autant, je n'ai jamais rien reçu de désagréable de la part d'Arianespace ni de ses avocats, et j'ai fini par laisser tomber le DNS qui est aujourd'hui à vendre chez un parqueur de DNS... C'est mon cas également. J'ai un nom de famille qui correspond à celui d'une grande société (http://www.leclanche.eu/), or je possède le .net et le .fr, et jamais eu un seul souci. J'ai reçu une fois une offre d'achat (500€, sont marrants :) pour le .fr de la part d'une société tierce, et c'est tout. Dans l'affaire Milka, c'était son prénom et pas son nom. Je serais curieux de savoir si le même règlement est applicable au nom de famille. D'un autre côté, je peux faire valoir qu'ils s'appellent Leclanché (avec accent) et qu'ils ont qu'à utiliser un IDN ;) Guillaume
Re: Re: [FRnOG] Re: DNS P2P
Perso, le probleme ne c est pas pose pour moi. T as pas le droit ou floppe d avocat :-)) T'appelant Ludovic Lacoste, tu as tout à fait le droit de déposer le DNS lacoste.org s'il est libre. -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: DNS P2P
On Sat, 26 Nov 2011 11:50:55 +0100, Stephane Bortzmeyer bortzme...@nic.fr said: accélérer la propagation des changements dans les noms de domaine. Pas besoin de nouvelles techniques, il suffit de mettre TTL à 0 à Refresh à 1. Ah bon ? Je croyais qu'il suffit que tout le monde joue le jeu selon les RFC (enfin, APRES on peut jouer avec le TTL tranquilement). Pas du style RR avec TTL de 3600 sec on les retrouve dans des caches 6 mois (!) apres expiration. --- Liste de diffusion du FRnOG http://www.frnog.org/