ในช่วงต้นปี 2558 ทั้งเบราว์เซอร์ Chrome และ Firefox เปิดตัว“ ฟีเจอร์” ใหม่ที่เรียกว่า WebRTC อย่างไรก็ตามมันค่อนข้างน่าตกใจที่อนุญาตให้เว็บไซต์ตรวจจับที่อยู่ IP จริงของคุณแม้ว่าจะใช้ VPN ก็ตาม!

WebRTC คืออะไร?

การสื่อสารผ่านเว็บแบบเรียลไทม์ (WebRTC) เป็นมาตรฐานที่มีประโยชน์ซึ่งอนุญาตให้เบราว์เซอร์รวมคุณสมบัติเช่นการโทรด้วยเสียงวิดีโอแชทและแชร์ไฟล์ P2P เข้าสู่เบราว์เซอร์โดยตรง.

ตัวอย่างที่ดีของเรื่องนี้คือไคลเอนต์และวิดีโอแชท Firefox Hello ใหม่ที่ช่วยให้คุณสามารถพูดคุยกับคนอื่นได้อย่างปลอดภัยโดยใช้เบราว์เซอร์ Firefox, Chrome หรือ Opera ที่ทันสมัยโดยไม่จำเป็นต้องดาวน์โหลดโปรแกรมเสริมใด ๆ หรือกำหนดค่าใด ๆ การตั้งค่าใหม่.

แล้วปัญหาคืออะไร?

น่าเสียดายสำหรับผู้ใช้ VPN, WebRTC อนุญาตให้เว็บไซต์ (หรือบริการ WebRTC อื่น ๆ ) ตรวจสอบที่อยู่ IP ที่แท้จริงของเครื่องโฮสต์ของคุณโดยตรงไม่ว่าคุณจะใช้พร็อกซีเซิร์ฟเวอร์หรือ VPN.

ในฐานะผู้ผลิต https://diafygi.github.io/webrtc-ips/ เครื่องมือที่ตรวจพบว่าเบราว์เซอร์ของคุณเสี่ยงต่อการรั่วไหลของ WebRTC หรือไม่อธิบาย,


“ Firefox และ Chrome ได้ใช้ WebRTC ที่อนุญาตการร้องขอไปยังเซิร์ฟเวอร์ STUN ที่จะส่งคืนที่อยู่ IP ในพื้นที่สาธารณะและสาธารณะให้กับผู้ใช้ ผลลัพธ์การร้องขอเหล่านี้มีให้ใช้งานจาวาสคริปต์ดังนั้นตอนนี้คุณสามารถรับที่อยู่ IP ของท้องถิ่นและสาธารณะของผู้ใช้ได้ในจาวาสคริปต์ การสาธิตนี้เป็นตัวอย่างการใช้งานของสิ่งนั้น.

นอกจากนี้คำขอ STUN เหล่านี้สร้างขึ้นนอกขั้นตอน XMLHttpRequest ปกติดังนั้นจึงไม่สามารถมองเห็นได้ในคอนโซลนักพัฒนาซอฟต์แวร์หรือสามารถบล็อกโดยปลั๊กอินเช่น AdBlockPlus หรือ Ghostery สิ่งนี้ทำให้คำขอประเภทนี้พร้อมใช้งานสำหรับการติดตามออนไลน์หากผู้โฆษณาตั้งค่าเซิร์ฟเวอร์ STUN ด้วยโดเมนไวด์การ์ด”

เบราว์เซอร์ Opera ซึ่งใช้รหัส WebKit เดียวกับที่ใช้กับ Chrome นั้นได้รับผลกระทบจากปัญหานี้เช่นกัน แต่ Internet Explorer และ Safari ซึ่งไม่รองรับ WebRTC อัปเดต: เบราว์เซอร์ Android เวอร์ชันใหม่กว่าจะปรากฏขึ้นเพื่อใช้งาน WebRTC และควรหลีกเลี่ยง.

ฉันได้รับผลกระทบหรือไม่?

คุณสามารถทดสอบว่าเบราว์เซอร์ของคุณมีการรั่วไหลของที่อยู่ IP จริงผ่าน WebRTC หรือไม่โดยไปที่ ipleak.net.

WebRTC 1

ที่นี่เราสามารถเห็นได้อย่างชัดเจนว่าฉันมีการรั่วไหลของ WebRTC เว็บไซต์สามารถดู IP ของเซิร์ฟเวอร์ VPN ของฉัน แต่ยังสามารถดูที่อยู่ IP ในพื้นที่จริง (สหราชอาณาจักร) ไม่ดี!

WebRTC 2

หากคุณปิดใช้งาน WebRTC ในเบราว์เซอร์ของคุณ (หรือใช้เบราว์เซอร์ที่ไม่มี” คุณสมบัติ” WebRTC คุณจะเห็นข้อความนี้ดี!

webRTC 5

คุณอาจเห็นบางสิ่งเช่นนี้ซึ่งหมายความว่าเบราว์เซอร์ของคุณเสี่ยงต่อ "ข้อบกพร่อง" ของ WebRTC แต่บริการ VPN ของคุณได้แก้ไขปัญหาแล้วและกำลังกำหนดเส้นทางคำขอ WebRTC STUN ผ่านเซิร์ฟเวอร์ ไชโย!

แม้ว่าจะเป็นเรื่องดีที่ผู้ให้บริการ VPN บางราย (เช่น AirVPN) ได้ดำเนินการตามขั้นตอนเพื่อแก้ไข "ข้อบกพร่อง" ของ WebRTC แต่ควรเน้นว่าปัญหาพื้นฐานอยู่ที่ WebRTC API พร้อมกับความจริงที่ว่ามีการเปิดใช้งานตามค่าเริ่มต้น ภายในเบราว์เซอร์ที่ได้รับผลกระทบ.

ดังนั้นจึงไม่ใช่ความผิดจริงของผู้ให้บริการ VPN แม้ว่าเราจะชอบที่จะเห็นพวกเขามากขึ้นในการช่วยเหลือลูกค้าของพวกเขา (ซึ่งจะไม่รู้ปัญหา) ส่วนใหญ่จากการละเมิดความเป็นส่วนตัวของพวกเขาโดยปัญหานี้.

การแก้ไขคืออะไร?

Firefox

1. วิธีแก้ไขปัญหาที่ง่ายที่สุดคือเพียงปิดการใช้งาน WebRTC ใน Firefox สามารถทำได้อย่างง่ายดายด้วยตนเองในการตั้งค่าขั้นสูง:

ประเภท 'เกี่ยวกับ config’ ลงในแถบ URL (และคลิกผ่าน "ฉันจะระวังให้ดีฉันสัญญา!")
b) ค้นหา ‘media.peerconnection.enabled
c) ดับเบิลคลิกที่รายการเพื่อเปลี่ยนค่าเป็น ‘ผิด’

วิธีนี้ใช้ได้กับ Firefox รุ่นมือถือ (Android / iOS)

WebRTC แก้ไข firefox

2. ติดตั้งส่วนเสริมปิดการใช้งาน WebRTC ส่วนขยายเบราว์เซอร์ uBlock Origin ยังป้องกันไม่ให้ WebRTC รั่วไหลไปยังที่อยู่ IP ในพื้นที่ของคุณบนเดสก์ท็อป (ส่วนเสริมทั้งหมดเหล่านี้บน Firefox เวอร์ชันมือถือ)

webRTC6

ใน uBlock Origin ไปที่เมนู -> Add-on -> กำเนิด uBlock -> ตัวเลือก -> แสดง Dashboard เพื่อปิดการใช้งาน WebRTC

3. ตัวเลือกนิวเคลียร์เพิ่มเติมคือการใช้ NoScript Add-on นี่เป็นเครื่องมือที่ทรงพลังอย่างยิ่งและเป็นวิธีที่ดีที่สุดในการทำให้เบราว์เซอร์ของคุณปลอดภัยจากการคุกคามทั้งโฮสต์ (รวมถึง WebTRC) แต่เว็บไซต์จำนวนมากจะไม่เล่นเกมด้วย NoScript และต้องการความรู้ทางเทคนิคเล็กน้อยในการกำหนดค่าและ ปรับแต่งให้ทำงานตามที่คุณต้องการ.

เป็นการง่ายที่จะเพิ่มข้อยกเว้นในรายการที่อนุญาต แต่ต้องใช้ความเข้าใจความเสี่ยงที่อาจเกี่ยวข้องด้วย ไม่ใช่สำหรับผู้ใช้ทั่วไป แต่สำหรับผู้ใช้งานเว็บที่มีความชำนาญ NoScript นั้นยากที่จะเอาชนะ (ในความเป็นจริงแม้จะปิดคุณสมบัติส่วนใหญ่แล้ว NoScript ก็ให้การปกป้องที่มีประโยชน์อยู่แล้ว) NoScript ทำงานบน Firefox เวอร์ชันเดสก์ท็อป เท่านั้น.

4. ดังที่ฉันได้กล่าวไว้ WebRTC มีประโยชน์จริง ๆ ดังนั้นสำหรับวิธีการที่เหมาะสมยิ่งขึ้นคุณสามารถติดตั้งโปรแกรมเสริมตามกฎหมายได้ สิ่งนี้ช่วยให้คุณตัดสินใจได้ว่าจะอนุญาตการเชื่อมต่อ WebRTC หรือไม่ เดสก์ท็อปเท่านั้น.

โปรแกรมเสริมตามกฎหมายจะบล็อก WebRTC เป็นค่าเริ่มต้น แต่อนุญาตให้คุณทำรายชื่อเว็บไซต์ได้โดยเพิ่มลงในรายการนี้

WebRTC 3

โปรดทราบว่า Tor Browser (ซึ่งใช้ Firefox) จะปิดใช้งาน WebRTC เป็นค่าเริ่มต้น.

โครเมียม

1. ส่วนขยายเบราว์เซอร์ uBlock Origin ยังมีให้ใน Chrome (และใช้งานได้กับ Opera)

2. ส่วนขยายเบราว์เซอร์ตัว จำกัด เครือข่าย WebRTC จะป้องกันการรั่วไหลของ IP โดยไม่ปิดการใช้งานฟังก์ชั่น WebRTC อย่างสมบูรณ์ (นี่เป็นส่วนขยายอย่างเป็นทางการของ Google)

3. ใน Android คุณสามารถปิดการใช้งาน WebRTC ใน Chrome ด้วยตนเองโดยใช้วิธีการต่อไปนี้:

ชนิด chrome: // ธง ในแถบค้นหาและเลื่อนลงจนกว่าคุณจะเลื่อนลงจนกว่าคุณจะเห็น "WebRTC STUN header header". ปิดใช้งานสิ่งนี้ นอกจากนี้ยังมีตัวเลือกการถอดรหัสวิดีโอ WebRTC แต่คุณไม่จำเป็นต้องปิดใช้งานสิ่งเหล่านี้เพื่อป้องกันการรั่วไหลของ IP ของ WebRTC (แม้ว่าจะทำให้คุณรู้สึกดีขึ้นไปได้เลย!).

อุปรากร

ตามหลักการแล้ว Opera สามารถใช้ส่วนขยาย Chrome ปกติได้ แต่สิ่งเหล่านี้ส่วนใหญ่ไม่สามารถบล็อกการรั่วไหลของ IP ของ WebRTC วิธีการหนึ่งที่ฉันรู้ว่าใช้งานได้คือใช้ส่วนขยาย WebRTC Leak Prevent แต่ถ้าคุณ:

  1. ไปที่เมนู -> ส่วนขยาย -> จัดการส่วนขยาย WebRTC ป้องกันการรั่วไหล -> ตัวเลือก
  2. ชุด "นโยบายการจัดการ IP" ถึง: ปิดใช้งาน UDP ที่ไม่ได้รับพร็อกซี (Force proxy) และทำเครื่องหมายที่ตัวเลือกทั้งสองด้านล่าง "มรดก".

อุปรากร

3. ตี "ใช้การตั้งค่า".

ข้อสรุป

"บั๊ก" ของ WebRTC เป็นสิ่งที่อันตรายสำหรับผู้ใช้ VPN เนื่องจากสามารถเปิดเผยที่อยู่ IP ที่แท้จริงของคุณ (ซึ่งจะส่งผลเสียต่อการใช้ VPN!)

แม้ว่าจะไม่ใช่ความผิดของพวกเขาจริง ๆ มันก็จะดีอย่างไรก็ตามหากผู้ให้บริการเพิ่มเติมสามารถแก้ไขปัญหาเพื่อปกป้องผู้ใช้ของพวกเขาซึ่งส่วนใหญ่จะไม่ตระหนักถึงภัยคุกคามนี้อย่างสมบูรณ์.

ในระหว่างนี้อย่างน้อยเมื่อคุณตระหนักถึงปัญหาก็สามารถแก้ไขได้อย่างง่ายดาย.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me