Um zu testen ob der DNS Server des eigenen Providers bereits die aktuellen Änderungen kennt, gibt es ebenfalls mehrere Methoden. Eine simple und schnelle ist es, die neu angelegte Domain im Browser zu öffnen und zu schauen, ob das Ergebnis den Erwartungen entspricht.

Da dieser Test versagte löste ich den Namen mit nslookup auf – und hier kam die Überraschung: nslookup zeigte mir die richtige IP Adresse. Also warum versagte der Browsertest?

Aus purer Verzweiflung startete ich nslookup erneut und hier ergab sich die zweite Überraschung: Dieses Mal zeigte mir nslookup eine IP Adresse, welche aus einem Wildcard-Eintrag im DNS stammte.

Dieses Wechselspiel ließ sich beliebig reproduzieren. Immer war die Antwort abwechselnd “richtige IP” und dann wieder “falsche IP”.

So etwas hatte ich bislang noch nie gesehen. War es ein Bug im nslookup den bislang noch niemand gefunden hatte? War es irgendein Cache auf meinem Computer oder im DSL Router? Um auf ganz Sicher zu gehen leerte ich den DNS Auflösungscache auf dem Computer (ipconfig /flushdns) und startete den DSL Router durch.
Selbes Ergebnis. Ich stieg tiefer ein und öffnete mir eine eigene nslookup Session. Wie es der Zufall wollte, bekam ich nun nur die richtige IP angezeigt, egal wie oft ich fragte.

Was war denn das für ein Verhalten? Wenn ich mit nslookup (domainname) eine Anfrage an den DNS stellte wechselte die IP von Falsch <-> Richtig und wenn ich nslookup startete und nach (domainname) fragte, blieb die Adresse gleich? WTF?

Die Lösung dieses Phänomens brachte ein Blick in die DSL Router Konfiguration. Für die externe Netzwerkkarte war ein primärer und ein sekundärer DNS Server eingetragen.

Über nslookup fragte ich zuerst den einen und anschlißend den sekundären ab. Das Ergebnis: Einer kannte die richtige IP, der andere nicht.

Der DSL Router hat also – wahrscheinlich um den Traffic nicht auf einen DNS Server zu konzentrieren – abwechselnd den primären und den sekundären DNS Server befragt. Da nur einer von beiden die aktuelle IP der Subdomain kannte, brachte der andere das falsche Ergebnis – und der Browsertest scheiterte (am timing )

We all know them: “Security” questions like

What was your first pet’s name?

or

What is the last name of your childhood best friend

Ok so what is the idea behind these questions? I mean – it has only three effects on me:

1. I think about everybody who knows me and could answer this questions.
2. It will make me think about stupid answers like “FuckThisQuestion” that I will remember exactly for two minutes.
3. When I try to logon one week later – guess what – I am frustrated because I don’t remember anything and I am not

able to reset my password because of the security questions.

The procedure is the same – every time, every system:

1. User does not remember his password, he clicks on “Forgot password”
2. He needs to enter his email address (or to make it even more “secure”: he is also forced to enter a username)
3. If he can remember his logon name (“nickname”), he is redirected to a page where he needs to enter the answer to a “security question” that he defined when he created his profile some time ago. To make it even more secure, some systems ask two questions instead of one. And you need to answer ALL of them.
4. If he can remember the answer to ALL security questions, he will get an email with either a link to a password reset page – or – if the company does not store his password encrypted, he get his original password via email – or - he gets a new password via email.
5. I normally not proceed step 2 if the system needs my email address and my username.
   In reality, this all does not provide any more or advanced security at all. It doubles the information, I need to write down on a piece of paper and put it under my keyboard.

If you are a guy who designs such a logon system – think about some facts:

• First of all: “Security” questions sucks! If I even cannot remember my logon name, what the hell you think makes me remembering my answers to your questions?
• Questions about common facts do not mean any security at all. Not even if I call them “security questions”.
• So called security questions are not even more secure if I ask two (or more) questions instead of one.
• If you need “Completely Automated Public Turing Test to tell Computers and Humans Apart” use CAPTCHA, not “security questions”. If you like to play with your users, implement Asirra or anything similar.
• Use KISS (“keep it simple, stupid!”): User forgot password > enter either username or email address > resend new password to users email

Eine Suche im Internet ergab wenig Hilfreiches und so machten wir uns gemeinsam an die Diagnose. Der Ordner %windir%\Microsoft.NET\Framework\v2.0.50727\CONFIG enthält einen Haufen von Dokumenten, ebenso die laut Fehlermeldung korrupte Datei machine.config und eine machine.config.default.

Um hier etwas ändern zu können benötig man erhöhte Rechte und so öffneten wir eine Shell als Administrator (runas). Ein Blick in die Dokumente mit dem Programm notepad brachte auf den ersten Blick wenig Unterschiede ans Tageslicht und so machten wir die Probe aufs Exempel:

Der Befehl

rename machine.config machine.config.COPY

benennt die korrupte Datei um, mit

copy machine.config.default machine.config

erzeugt man einen neue machine.config Datei.

Der Start von PaintDotNet lief nun sauber durch und auch die anderen Programme liefen wieder.

Hinweis:

Ob der hier aufgezeigte Weg der Masterweg ist, bleibt dahingestellt. Ich bin weder .NET Experte noch ein .NET Programmierer.

Das wichtigste war, dass die Programme wieder liefen.