Твитнуть
Уязвимость WebRTC позволяет раскрыть локальный IP-адрес!
Браузеры с поддержкой технологии WebRTC, включая Firefox и Chromium, допускают раскрытие локального и публичного IP адресов компьютера пользователя путём отправки специальных запросов даже при включенном VPN. Такие запросы не отображаются в консоли разработчика и не могут быть заблокированы плагинами вроде AdBlockPlus и Ghostery.
Проверить ваш браузер на уязвимость можно по этой ссылке:
https://diafygi.github.io/webrtc-ips/
Решение проблемы довольно простое:
Для Firefox: нужно открыть панель настроек (ввести адрес about:config) и сменить значение опции «media.peerconnection.enabled» c «true» на «false» или ставим расширение "Happy Bonobo: Disable WebRTC".
Для Chrome: Ставим расширение блокирующее WebRTC https://chrome.google.com/webstore/d...adhfbkdm?hl=en
Браузеры с поддержкой технологии WebRTC, включая Firefox и Chromium, допускают раскрытие локального и публичного IP адресов компьютера пользователя путём отправки специальных запросов даже при включенном VPN. Такие запросы не отображаются в консоли разработчика и не могут быть заблокированы плагинами вроде AdBlockPlus и Ghostery.
WebRTC допускает отправку запросов к STUN-серверам, которые возвращают как публичный, так и локальный IP-адрес.
Как сообщает online-издание I Programmer, поддерживаемая браузерами Firefox и Chromium технология WebRTC, которая позволяет осуществлять аудио- и видеозвонки непосредственно из браузера, имеет существенный недостаток.
Практически все внутренние сети используют приватные или локальные IP-адреса, которые не могут применяться в открытом интернете. Когда система подключается к глобальной Сети, она использует публичный IP-адрес, «видимый» для других систем. Тем не менее, WebRTC позволяет раскрыть локальный IP-адрес.
Для осуществления аудио- и видеозвонки из браузера с помощью WebRTC создается пиринговая сеть без промежуточного сервера. Для этого системам необходимо обменяться как публичными, так и локальными IP-адресами. Узнать свой публичный IP-адрес машине помогает протокол STUN. Это происходит следующим образом: система отправляет на STUN-сервер UDP-пакет, а сервер возвращает пакет, содержащий открытый IP-адрес.
WebRTC допускает отправку запросов к STUN-серверам, которые возвращают как публичный, так и локальный IP-адрес. Поскольку подобные запросы можно осуществлять с помощью скрипта, IP-адреса отображаются средствами JavaScript. При этом не используется XMLHttpRequest, и запросы не видны из консоли разработчика. Кроме того, они не поддаются блокировке с помощью AdBlockPlus, Ghostery и т.п.
Как сообщает online-издание I Programmer, поддерживаемая браузерами Firefox и Chromium технология WebRTC, которая позволяет осуществлять аудио- и видеозвонки непосредственно из браузера, имеет существенный недостаток.
Практически все внутренние сети используют приватные или локальные IP-адреса, которые не могут применяться в открытом интернете. Когда система подключается к глобальной Сети, она использует публичный IP-адрес, «видимый» для других систем. Тем не менее, WebRTC позволяет раскрыть локальный IP-адрес.
Для осуществления аудио- и видеозвонки из браузера с помощью WebRTC создается пиринговая сеть без промежуточного сервера. Для этого системам необходимо обменяться как публичными, так и локальными IP-адресами. Узнать свой публичный IP-адрес машине помогает протокол STUN. Это происходит следующим образом: система отправляет на STUN-сервер UDP-пакет, а сервер возвращает пакет, содержащий открытый IP-адрес.
WebRTC допускает отправку запросов к STUN-серверам, которые возвращают как публичный, так и локальный IP-адрес. Поскольку подобные запросы можно осуществлять с помощью скрипта, IP-адреса отображаются средствами JavaScript. При этом не используется XMLHttpRequest, и запросы не видны из консоли разработчика. Кроме того, они не поддаются блокировке с помощью AdBlockPlus, Ghostery и т.п.
https://diafygi.github.io/webrtc-ips/
Решение проблемы довольно простое:
Для Firefox: нужно открыть панель настроек (ввести адрес about:config) и сменить значение опции «media.peerconnection.enabled» c «true» на «false» или ставим расширение "Happy Bonobo: Disable WebRTC".
Для Chrome: Ставим расширение блокирующее WebRTC https://chrome.google.com/webstore/d...adhfbkdm?hl=en
Комментарий