Beiträge von WorldIP

  • DNS-Spoofing bei justdelete.me

    Zitat von Zitronella

    Danke für die Antwort. Und ist
    http://justdelete.me false-positive und
    http://www.website-unavailable.com auch false-positive?

    Also, wie der Screenshot aussieht für
    1. http://justdelete.me

    entweder Spoofing, oder auch kann der Fall sein, dass Justdelete.me vor kurzem umgezogen ist, ohne alten Server zu löschen, was normal beim Umzug ist, und IP geändert (z.Z. 205.186.183.190). Das heißt, auf dem DNS-Server vom Provider waren noch alte Daten gespeichert. Deswegen beim DNS-Wechsel kein roter Alarm mehr, weil jetzt aktuelle IP hat.

    Diese Situation kann man immer im Add-on überprüfen, indem man im Menu clickt "Alle Informationen erhalten und DNS prüfen", und dann nach dem neuen Wert schauen. Ich merke mir aber den Bug für die neue Version.
    Das hilft allerdings nur, wenn DNS von Ihrem Provider DNS-Einträge nach dem Internet-Standart aktualisiert (d.h. er holt neue Daten nach dem Ablauf von TTL)

    2. http://www.website-unavailable.com
    Entweder benutzt diese seite Geo-Balancierung oder wechselt ständig eigene IP. Auf jeden Fall ich versuche das zu fixen.

  • DNS-Spoofing bei justdelete.me

    Vielleicht soll ich antworten

    Zitat von Zitronella

    kann so eine Erweiterung wirklich zuverlässig DNS-Spoofing erkennen?


    Ja, sie kann es wirklich.
    Beim Verdacht auf Spoofing werden mehrere DNS-requests zu externen DNS-server geschickt (aus der Liste in Optionen, zum Google-Server, zu einem eigenen DNS-server von Domain, via UPD/TCP, Anfragen mit A und ANY requests)

    Manchmal werden aber "False-Positive" Alarmen angezeigt. Das passiert am meisten nur mit CDN-Hosters, welche mehrere IPs haben und GeoDNS benutzen. Ich arbeite daran, die Erweiterung besser zu machen. In den nächsten Tagen kommt die neue Version, mit bekannten gefixten Bugs.

    Zitat von Zitronella

    ich könnte darin die Funktion von "DNS-Spoofing überprüfen" abschalten

    Zitat von Bernd.

    Wobei du dann eigentliche die wichtigste Funktion verlierst


    Für mich persönlich ist diese Funktion auch die wichtigste, aber auch Rechenzentrum-Anzeige finde ich sinnvoll.
    Die wurden implementiert nachdem wir viele Meldungen gefragt bekommen: "wieso zeigt WorldIP für Google.com NL-Land und ein komisches Rechenzentrum"...und dann kommt heraus, dass es Phishing-Virus war..

    Was sehr wichtig für die Sicherheit ist, dass WorldIP sendet dank eigenen Prozeduren direkte DNS-Anfragen (DNS-Funktion von Firefox und resolver von Betriebsystem werden nicht benutzt!)

    Ich kann hier weitere Fragen beantworten
    Gruß, Alex Aster (WorldIP-Entwickler)