בתחילת 2015 דפדפני Chrome וגם Firefox הציגו "תכונה" חדשה בשם WebRTC. עם זאת, באופן מדאיג, היא מאפשרת לאתרים לאתר את כתובת ה- IP האמיתית שלך, אפילו בעת שימוש ב- VPN!

מה זה WebRTC?

תקשורת אינטרנט בזמן אמת (WebRTC) היא תקן שימושי בעל פוטנציאל שימושי המאפשר לדפדפנים לשלב תכונות כגון שיחות קוליות, וידאו צ'אט ושיתוף קבצים P2P ישירות בדפדפן..

דוגמה טובה לכך היא לקוח הווידיאו והצ'אט החדש של Firefox Hello המאפשר לך לדבר בצורה מאובטחת עם כל אחד אחר המשתמש בדפדפן Firefox, Chrome או Opera, ללא צורך להוריד שום תוסף או להגדיר תצורה כלשהי. הגדרות חדשות.

אז מה הבעיה?

לרוע המזל עבור משתמשי VPN, WebRTC מאפשר לאתר (או שירותי WebRTC אחרים) לזהות ישירות את כתובת ה- IP האמיתית של המחשב המארח שלך, ללא קשר אם אתה משתמש בשרת proxy או VPN..

כיצרני https://diafygi.github.io/webrtc-ips/, כלי המגלה אם הדפדפן שלך פגיע לדליפת WebRTC, הסביר,


"Firefox ו- Chrome יישמו WebRTC המאפשרים לבצע בקשות לשרתי STUN שיחזירו את כתובות ה- IP המקומיות והציבוריות למשתמש. תוצאות בקשה אלה זמינות ל- javascript, כך שתוכלו כעת להשיג כתובות IP מקומיות וציבוריות של המשתמש ב- javascript. הדגמה זו היא דוגמה ליישום לכך.

בנוסף, בקשות STUN אלה מתבצעות מחוץ לנוהל הרגיל של XMLHttpRequest, כך שהן אינן גלויות במסוף המפתחים או יכולות להיות חסומות על ידי תוספים כמו AdBlockPlus או Ghostery. זה הופך את סוגי הבקשות הללו לזמינים למעקב מקוון אם מפרסם מגדיר שרת STUN עם תחום תווים כלליים. "

דפדפן האופרה, המשתמש באותו קוד WebKit שמפעיל את Chrome מושפע גם הוא מהנושא, אך Internet Explorer וספארי, שאינם תומכים ב- WebRTC, אינם. עדכון: נראה כי גרסאות חדשות יותר של דפדפן אנדרואיד המניות מיישמות WebRTC, ולכן יש להימנע מהן.

האם אני מושפע??

אתה יכול לבדוק אם הדפדפן שלך מדליף את כתובת ה- IP האמיתית שלך דרך WebRTC על ידי ביקור ב- ipleak.net.

WebRTC 1

כאן אנו יכולים לראות בבירור שיש לי דליפת WebRTC. האתר יכול לראות את ה- IP של שרת ה- VPN שלי, אך יכול גם לראות כתובת IP מקומית (בריטניה) אמיתית. רע!

WebRTC 2

אם השבתת את WebRTC בדפדפן שלך (או שאתה משתמש בדפדפן שאינו "כולל" WebRTC, תראה הודעה זו. טוב!

webRTC 5

ייתכן שתראה גם דבר כזה, מה שאומר שהדפדפן שלך פגיע ל"באג "של WebRTC, אך שירות VPN שלך תיקן את הבעיה ומעביר את בקשות WebRTC STUN דרך השרתים שלו. בראבו!

למרות שזה נהדר שחלק מספקי ה- VPN (כמו AirVPN) נקטו צעדים לתיקון ה- "באג" של WebRTC, יש להדגיש כי באופן בסיסי, הבעיה נעוצה בממשק ה- API של WebRTC, יחד עם העובדה שהוא מופעל כברירת מחדל. בתוך הדפדפנים המושפעים.

לפיכך, זו לא באמת אשמתם של ספקי ה- VPN, אם כי נשמח לראות שיותר מהם עולים לאתגר לסייע ללקוחות שלהם (אשר ברובם לא מודעים לבעיה) מלהיפגע בפרטיותם על ידי סוגיה זו..

מהם התיקונים?

פיירפוקס

1. הפיתרון הפשוט ביותר לבעיה הוא רק להשבית את WebRTC. בפיירפוקס ניתן לבצע בקלות ידנית בהגדרות המתקדמות:

סוג 'אודות: config ' לסרגל הכתובות (ולחץ על 'אני אהיה זהיר אני מבטיח!')
ב) חפש 'מדיה.הקשר'
ג) לחץ פעמיים על הערך כדי לשנות את הערך ל- 'שקר '

שיטה זו עובדת גם בגרסאות סלולריות של Firefox (Android / iOS)

תיקון אתר Firefox

2. התקן את ההרחבה השבתת WebRTC. תוסף הדפדפן uBlock Origin מונע גם מ- WebRTC לדלוף את כתובת ה- IP המקומית שלך בשולחן העבודה (כל ההרחבות הללו גם בגרסאות ניידות של Firefox.)

webRTC6

ב- uBlock Origin עבור אל תפריט -> תוספות -> מקור uBlock -> אפשרויות -> הצג לוח מחוונים כדי להשבית את WebRTC

3. אפשרות גרעינית יותר היא להשתמש בתוסף NoScript. זהו כלי חזק במיוחד, וזו הדרך הטובה ביותר לשמור על הדפדפן מפני שלל איומים (כולל WebTRC), אולם אתרים רבים לא ישחקו משחק עם NoScript, והוא דורש מעט ידע טכני כדי להגדיר ולהגדיר לצבוט אותו כדי לעבוד כמו שאתה רוצה.

קל להוסיף חריגים לרשימת ההיתרים, אך אפילו זה דורש הבנה מסוימת של הסיכונים שעלולים להיות כרוכים בכך. לא עבור המשתמש המזדמן אז, אבל עבור משתמשי כוח מנוסים ברשת, NoScript קשה לנצח (למעשה, אפילו עם כל כשרוב התכונות שלו כבויות, NoScript מספק בכל מקרה כמה הגנות שימושיות.) NoScript עובד על גרסאות שולחן העבודה של Firefox. רק.

4. כפי שציינתי, WebRTC יכול למעשה להיות שימושי, כך שלגישה ניאונית יותר אתה יכול להתקין את התוסף הסטטוטורי. זה מאפשר לך להחליט, על בסיס אתר, אם לאפשר חיבור WebRTC. שולחן עבודה בלבד.

התוסף הסטטוטורי חוסם את WebRTC כברירת מחדל, אך מאפשר לך אתרים ברשימה הלבנה על ידי הוספתם לרשימה זו

WebRTC 3

שים לב כי דפדפן ה- Tor (מבוסס על Firefox) מבטל כברירת מחדל את WebRTC.

כרום

1. תוסף הדפדפן uBlock Origin זמין גם עבור Chrome (ועובד עבור אופרה.)

2. תוסף הדפדפן WebRTC Network Limiter ימנע דליפות IP מבלי לבטל לחלוטין את הפונקציונליות של WebRTC (זוהי סיומת רשמית של Google.)

3. באנדרואיד ניתן להשבית ידנית את WebRTC ב- Chrome בשיטה הבאה:

סוג כרום: // דגלים בסרגל החיפוש וגלול מטה עד שתגלול מטה עד שתראה "כותרת מקור של WebRTC STUN". השבת זאת. יש גם כמה אפשרויות פענוח וידאו של WebRTC, אך אינך צריך להשבית את אלה כדי למנוע דליפות IPR של WebRTC (אם כי אם זה ירגיש לך טוב יותר, קדימה!).

אופרה

להלכה, אופרה יכולה להשתמש בתוספי Chrome רגילים, אך לרוב אלה אינם מצליחים לחסום דליפות IPR של WebRTC. השיטה היחידה שידוע לי שהיא עובדת היא שימוש בתוסף WebRTC Leak Prevent, אך רק אם:

  1. עבור אל תפריט -> הרחבות -> נהל תוספים מניעת דליפת WebRTC -> אפשרויות
  2. הגדר "מדיניות טיפול בנושא IP" אל: השבת UDP שאינו פרוקסי (כוח פרוקסי) וסמן את שתי האפשרויות תחת "מורשת".

אופרה

3. מכה "החל הגדרות".

סיכום

"באג" WebRTC מסוכן עבור משתמשי VPN, מכיוון שהוא יכול לחשוף את כתובת ה- IP האמיתית שלך (ובכך לשלול את כל הנקודה של השימוש ב- VPN!)

למרות שלא באמת אשמתם, זה יהיה גדול, עם זאת, אם ספקים נוספים יוכלו לטפל בבעיה כדי להגן על המשתמשים שלהם, שרובם אינם מודעים לחלוטין לאיום זה.

בינתיים, לפחות ברגע שאתה מודע לבעיה, ניתן לתקן אותה בקלות.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me