Pada awal 2015 kedua-dua pelayar Chrome dan Firefox memperkenalkan "ciri" baharu yang dipanggil WebRTC. Walau bagaimanapun, dengan membingungkan, ia membenarkan laman web untuk mengesan alamat IP sebenar anda, walaupun menggunakan VPN!

Apa itu WebRTC?

Web-Real-Time Communication (WebRTC) adalah piawaian yang berpotensi berguna yang membolehkan penyemak imbas memasukkan ciri-ciri seperti panggilan suara, sembang video, dan perkongsian fail P2P terus ke penyemak imbas.

Satu contoh yang baik ini ialah video Firefox dan video chat Hello baru yang membolehkan anda bercakap dengan selamat kepada sesiapa sahaja menggunakan pelayar Firefox, Chrome, atau Opera yang terkini, tanpa perlu memuat turun apa-apa add-on, atau mengkonfigurasi mana-mana tetapan baru.

Jadi apa masalahnya?

Malangnya untuk pengguna VPN, WebRTC membolehkan laman web (atau perkhidmatan WebRTC lain) untuk mengesan alamat IP sebenar mesin hos anda, tanpa mengira sama ada anda menggunakan pelayan proksi atau VPN.

Sebagai pembuat https://diafygi.github.io/webrtc-ips/, alat yang mengesan sama ada pelayar anda terdedah kepada kebocoran WebRTC, terangkan,


"Firefox dan Chrome telah melaksanakan WebRTC yang membenarkan permintaan kepada pelayan STUN dibuat yang akan mengembalikan alamat IP tempatan dan awam untuk pengguna. Keputusan permintaan ini tersedia untuk javascript, sehingga kini anda dapat memperoleh alamat IP lokal dan publik pengguna di javascript. Demo ini merupakan contoh pelaksanaannya.

Di samping itu, permintaan STUN ini dibuat di luar prosedur XMLHttpRequest biasa, jadi ia tidak kelihatan dalam konsol pemaju atau boleh disekat oleh pemalam seperti AdBlockPlus atau Ghostery. Ini menjadikan jenis permintaan yang ada untuk penjejakan dalam talian jika pengiklan menyediakan pelayan STUN dengan domain wildcard. "

Penyemak imbas Opera, yang menggunakan kod WebKit yang sama yang memberi kuasa kepada Chrome juga dipengaruhi oleh masalah ini, tetapi Internet Explorer dan Safari, yang tidak menyokong WebRTC, tidak. Kemas kini: versi baru penyemak imbas saham Android muncul untuk melaksanakan WebRTC, dan oleh itu harus dielakkan.

Saya terpengaruh?

Anda boleh menguji sama ada pelayar anda membocorkan alamat IP sebenar anda melalui WebRTC dengan melawat ipleak.net.

WebRTC 1

Di sini kita dapat melihat dengan jelas bahawa saya mempunyai kebocoran WebRTC. Laman web ini dapat melihat IP pelayan VPN saya, tetapi juga dapat melihat alamat IP tempatan (UK) yang sebenarnya. Bad!

WebRTC 2

Sekiranya anda telah melumpuhkan WebRTC dalam penyemak imbas anda (atau menggunakan penyemak imbas yang tidak "menampilkan" WebRTC, anda akan melihat mesej ini.!

webRTC 5

Anda juga mungkin melihat sesuatu seperti ini, yang bermaksud bahawa pelayar anda terdedah kepada "bug" WebRTC, tetapi perkhidmatan VPN anda telah menyelesaikan masalah dan mengarahkan permintaan WebRTC STUN melalui pelayannya. Bravo!

Walaupun sangat baik bahawa beberapa penyedia VPN (seperti AirVPN) telah mengambil langkah-langkah untuk menetapkan "bug" WebRTC, harus ditekankan bahwa, secara asasnya, masalah itu terletak pada API WebRTC, bersama dengan fakta bahwa ia diaktifkan secara lalai dalam pelayar yang terjejas.

Oleh itu, ia tidak benar-benar salah penyedia VPN, walaupun kami ingin melihat lebih banyak daripada mereka menimbulkan cabaran untuk membantu pelanggan mereka (yang sebahagian besarnya tidak menyedari masalah itu) daripada mempunyai privasi mereka dikompromi oleh isu ini.

Apakah pembaikannya??

Firefox

1. Penyelesaian yang paling mudah untuk masalah ialah dengan melumpuhkan WebRTC sahaja. Di Firefox boleh dengan mudah dilakukan secara manual dalam tetapan lanjutan:

a) Jenis 'mengenai: config ' ke dalam bar URL (dan klik melalui 'Saya akan berhati-hati saya berjanji!')
b) Cari 'media.peerconnection.enabled'
c) Klik dua kali pada entri untuk menukar Nilai kepada 'salah'

Kaedah ini juga berfungsi dalam versi mudah alih Firefox (Android / iOS)

Betulkan firefox WebRTC

2. Pasang add-on WebRTC Lumpuhkan. Sambungan penyemak imbas uBlock Asal juga menghalang WebRTC daripada membocorkan alamat IP tempatan anda pada desktop (semua pengaya ini juga pada versi mudah alih Firefox.)

webRTC6

Di UBlock Origin pergi ke Menu -> Add-ons -> uBlock Origin -> Pilihan -> Tunjukkan papan pemuka untuk melumpuhkan WebRTC

3. Pilihan lebih nuklear adalah menggunakan NoScript Add-on. Ini adalah alat yang sangat berkuasa, dan merupakan cara terbaik untuk memastikan penyemak imbas anda selamat dari pelbagai ancaman (termasuk WebTRC), tetapi banyak laman web tidak akan bermain game dengan NoScript, dan ia memerlukan sedikit pengetahuan teknikal untuk mengkonfigurasi dan tweak ia berfungsi seperti yang anda mahu.

Adalah mudah untuk menambahkan pengecualian kepada senarai putih, tetapi ini juga memerlukan sedikit pemahaman terhadap risiko yang mungkin terlibat. Bukan untuk pengguna kasual itu, tetapi untuk pengguna kuasa yang cerdas web, NoScript sukar ditewaskan (sebenarnya, walaupun dengan kebanyakan ciri-cirinya dimatikan, NoScript menyediakan beberapa perlindungan yang berguna juga.) NoScript berfungsi pada versi desktop Firefox sahaja.

4. Seperti yang saya katakan, WebRTC sebenarnya boleh digunakan, jadi untuk pendekatan yang lebih bernuansa anda boleh memasang add-on Statutory. Ini membolehkan anda membuat keputusan, berdasarkan laman sesawang, sama ada untuk membenarkan sambungan WebRTC. Desktop sahaja.

Blok tambahan berkanun WebRTC secara lalai, tetapi membolehkan anda ke laman senarai putih dengan menambahkannya ke senarai ini

WebRTC 3

Perhatikan bahawa Pelayar Tor (yang berdasarkan Firefox) melumpuhkan WebRTC secara lalai.

Chrome

1. Sambungan penyemak imbas uBlock Asal juga tersedia untuk Chrome (dan berfungsi untuk Opera.)

2. Sambungan penyemak imbas Limit WebRTC Network akan menghalang kebocoran IP tanpa melumpuhkan fungsi WebRTC sepenuhnya (ini adalah pelanjutan Google rasmi.)

3. Di Android, anda boleh melumpuhkan WebRTC secara manual dalam Chrome menggunakan kaedah berikut:

Taipkan chrome: // flags ke bar carian dan tatal ke bawah sehingga anda menatal ke bawah sehingga anda melihatnya "Tandukan asal STUN WebRTC". Lumpuhkan ini. Terdapat juga beberapa pilihan penyahkodan video WebRTC, tetapi anda tidak perlu melumpuhkan ini untuk mencegah kebocoran IP WebRTC (walaupun jika ia membuat anda berasa lebih baik, pergi ke hadapan!).

Opera

Secara teorinya, Opera boleh menggunakan sambungan Chrome biasa, tetapi kebanyakannya gagal untuk menyekat kebocoran IP WebRTC. Satu kaedah yang saya tahu bahawa ia berfungsi menggunakan sambungan WebRTC Leak Prevent, tetapi hanya jika anda:

  1. Pergi ke Menu -> Pelanjutan -> Urus Pelanjutan WebRTC Leak Cegah -> Pilihan
  2. Tetapkan "Dasar pengendalian IP" untuk: Matikan UDP bukan proksi (proksi kekerasan), dan tandakan kedua-dua pilihan di bawah "Warisan".

Opera

3. Tekan "Gunakan tetapan".

Kesimpulannya

WebRTC "bug" adalah berbahaya bagi pengguna VPN, kerana ia dapat mengungkapkan alamat IP yang benar (sehingga menafikan seluruh titik menggunakan VPN!)

Walaupun tidak benar-benar kesalahan mereka, namun akan menjadi lebih baik, jika lebih banyak penyedia dapat mengatasi masalah ini untuk melindungi pengguna mereka, yang kebanyakannya tidak menyadari ancaman ini.

Sementara itu, sekurang-kurangnya sekali anda menyedari masalah itu, ia dapat dengan mudah diperbaiki.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me