Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

chapoblan

Админи
  • Мнения

    183
  • Присъединил/а се

  • Последно посещение

  • Days Won

    23

chapoblan last won the day on Юли 16

chapoblan had the most liked content!

Обществена Репутация

111 Excellent

Social Info

Относно chapoblan

  • Ранг
    Founder TAD GROUP

Последни посетители

2087 профилни разглеждания
  1. User 0 Beginner 5 Good 50 Advanced 250 Hacker 500
  2. За Unyson Unyson е безплатен, мултифункционален фреймуърк с множество вграден разширения за лесно и бързо създаване на теми за известната система WordPress. Считано от средата на 2018, плъгинът има над 100,000 активни инсталации и намира широко приложение. Уязвимостта Както повече плъгини, модули и други части от даден софтуер, Unyson не позволява директния достъп, от страна на трети лица, до неговите компоненти (в частност файловете). Това е често срещана практика, тъй като улеснява процеса по осигуряването на защита на приложението. Въпреки това, съществува т.нар. FPD (Full Path Disclosure) уязвимост, която в случая е съвсем елементарна. Unyson позволява свалянето на последните шрифтове посредством файла load-latest-fonts.php, който се намира в директорията framework/bin/. Различното в случая е, че тук не се прави проверка дали файлът бива извикван от извън система или не и по-конкретно: <?php if ( ! defined( 'FW' ) ) { die( 'Forbidden' ); } Следователно позволява трети лица да достъпват отдалечено файлът директно посредством пълния му път в съответната WordPress инсталация: ../wp-content/plugins/unyson/framework/bin/load-latest-fonts.php Това е постигнато посредством функцията download_file() , която връща стойността на променливата $destination (съдържаща пълния път на акаунта): function download_file($url, $destination) { echo 'downloading ' . $destination . "\n"; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false); curl_setopt( $ch, CURLOPT_ENCODING, "UTF-8" ); $data = curl_exec ($ch); $error = curl_error($ch); curl_close ($ch); $file = fopen($destination, "w+"); fputs($file, $data); fclose($file); } Което връща сходна, на по-долу изложения пример, информация: #!/usr/bin/env php downloading /var/www/html/site/wp-content/plugins/unyson/framework/bin/../static/libs/entypo/css/entypo.css downloading /var/www/html/site/wp-content/plugins/unyson/framework/bin/../static/libs/entypo/fonts/entypo.eot Издавайки пълния път на акаунта. Уязвимостта засяга версии 2.5.7 до 2.7.18 (включително). Отстраняване на уязвимостта За потребителите, които използват Unyson има добри новини. Разработчиците на Unyson вече са публикували нова версия (2.7.19), която отстранява описаната уязвимост. При това положение, всеки потребител може просто да обнови своята версия на плъгина до най-новата. Технически, защитата се изразява в добавянето на допълнително условие с което се проверява дали файлът се извиква посредством CLI среда: if ( php_sapi_name() != 'cli' ) { die(); } За справка може да се разгледа и съдържанието на файла в официалното GitHub хранилищи на ThemeFuse. Препоръчва се потребители на WordPress, използващи плъгина Unyson, да обновят неговата версия до 2.7.19, за да не бъдат обект на атака експлоатираща посочената уязвимост. https://www.tad.group/blog/post/unyson-wordpress-framework-full-path-disclosure-vulnerability/
  3. Компаниите инвестират в технологии за информационна сигурност „от следващо поколение”, но не използват в пълна степен техния потенциал, поради липса на необходимите ресурси, сочи скорошно проучване на SANS Institute, посветено на защитата и реакцията на крайните точки. Приблизително 50% от анкетираните комерсиални организации са инвестирали в технологии за сигурност от следващо поколение, но 37% не ги прилагат напълно. 49% от фирмите разполагат със средства за идентифициране на безфайлови кибератаки, но 38% също не ги използват за защита на своите системи. Това означава, че като цяло нивото на неизползваните технологии е съответно 74% и 77,5%. Все повече специалисти са на мнение, че днешните решения за сигурност неправилно се наричат антивируси: традиционните антивирусни сами по себе си отдавна са неефективни. На свой ред, технологиите от следващо поколение са маркетингов маркер за инструменти, прилагани с различна степен на успех от началото на десетилетието, и е изненадващо, че толкова много корпоративни потребители все още не са ги използвали. От какво се страхуват компаниите Кои са най-опасните заплахи, според участните в изледването? 42% от респондентите споделят, че основната заплаха са експлойтите за крайни точки. Година по-рано, 53% от анкетираните са посочили тази заплаха като основна. В същото време 20% от участниците нямат представа за инцидентите в инфраструктурата си, в сравнение с 10% през миналата година. Бизнес организациите все повече инвестират в най-модерните технологии на киберзащита, но изпитват сериозни проблеми с тяхното внедряване и използване. Междувременно, традиционните инструменти губят своята ефективност: според изследването, само в 47% от случаите антивирусите за крайни точки могат да идентифицират хакване; в 32% сигналът за опасност е подаден от автоматизирани SIEM системи, а в 26% – от платформи за откриване и реагиране на кибернетични заплахи. Целта е преди всичко потребителят Към днешна дата повечето атаки срещу крайни точки са насочени основно към техните потребители, а не към уязвимостите в софтуера. Над половината от респондентите съобщават за атаки от типа „drive-by”, 53% – за фишинг атаки и други техники за социално инженерство. Също така, 50% от анкетираните споделят, че им се налага да се справят с рансъмуер – криптиращи вируси-изнудвачи. При 40% от инцидентите са откраднати реквизити за достъп. В 84% от случаите кибератаките срещу крайни точки засягат повече от едно устройство. Най-често биват атакувани РС-тата, но на прицела на хакерите попадат също сървъри, облачни устройства, SCADA системи и индустриални IoT устройства. Облачните крайни точки са атакувани все по-често: ако през 2017 г. те са били споменавани в 40% от случаите, сега делът им е 60%. Но въпреки тоталните атаки към потребителите, рядко се използват технологии, предназначени за откриване и блокиране на такива заплахи. Само 23% от пробивите са идентифицирани с използване на техники за поведенческо моделиране и само 11% – чрез технологии за поведенчески анализ. Когато има проникване, повечето компании изглежда могат да проследят техния източник. 79% от анкетираните казват, че най-малко в половината от случаите могат да „привържат” потребителя към крайната точка и сървъра, а 34% уверяват, че са способни да направят това винаги. Ключовата роля на данните Събирането на данни играе огромна роля при премахване на последиците от успешните кибератаки, но не всички организации са в състояние да съберат цялата информация, от която се нуждаят за това. Повечето анкетирани искат повече информация за достъпа до мрежите и повече потребителски данни. 74% от анкетираните заявяват, че искат повече информация от защитните стени, системите за предотвратяване на проникване и интегрираните системи за управление на риска. 69% от респондентите пък биха искали да могат да изготвят по-подробен анализ на трафика, сочат резултатите от проучването на SANS Institute. Technews.bg
  4. В прикачения файл. 802-01-18.pdf
  5. Депутатите от Комисията на ЕП по промишленост подкрепиха във вторник нова рамка за сертифициране на свързани устройства, както и засилване ролята на Агенцията на ЕС за киберсигурност, съобщи пресслужбата на ЕП. Схемата на ЕС за сертифициране на киберсигурността ще удостоверява, че даден продукт, процес или услуга на ИКТ няма познати уязвимости по време на получаването на сертификацията и че е в съответствие с международните стандарти и технически спецификации. Рамка за сертифициране на киберсигурността Сертифицирането ще бъде доброволно, а при необходимост – и задължително, и ще удостоверява: ‒ конфиденциалност, цялостност, достъпност и поверителност на услугите, функциите и данните; ‒ че услугите, функциите и данните могат да бъдат достъпни и използвани само от упълномощени лица и/или одобрени системи и програми; ‒ че са налице процеси за идентифициране на всички познати уязвимости и за справяне с нови; ‒ че продуктите, процесите или услугите са проектирани така, че да бъдат сигурни и да са снабдени с актуален софтуер без познати уязвимости; ‒ че други рискове, свързани с киберинциденти, като рискове за живота или здравето, са сведени до минимум. Ниво на обезпеченост Схемата за сертифициране ще определи три нива на обезпеченост, основани на риска: ‒ основно, което означава, че уредът или устройството са защитени от познатите основни рискове от инциденти в киберпространството; ‒ значително, което означава, че са предотвратени познатите рискове от инциденти в киберпространството и е налице способност за противопоставяне на кибератаки с ограничени ресурси, и ‒ високо, което означава, че рисковете от киберинциденти са предотвратени и уредът или устройството е в състояние да устои на най-съвременните кибератаки със значителни ресурси. По-силен мандат за ENISA Новият проект за регламент ще предостави по-голям бюджет, повече персонал и постоянен мандат на съществуващата Агенция на Европейския съюз за мрежова и информационна сигурност (ENISA) със седалище в Ираклион и офиси в Атина. ENISA също така ще бъде точка за контакт по схемата за сертифициране на киберсигурността, за да: ‒ бъде избегната разпокъсаност на схемите за сертифициране в Европейския съюз; ‒ разработва потенциални схеми на ЕС за сертифициране на специфични продукти по искане на Европейската комисия; ‒ поддържа специален уебсайт с цялата необходима информация относно схемите за сертифициране, включително тази за изтеглените и изтекли сертификати. Проектодокладът, одобрен с 56 гласа „за“, 5 гласа „против“ и 1 „въздържал се“, ще представлява позицията на ЕП за преговорите със Съвета, ако бъде одобрена от пленарната зала по време на пленарната сесия през септември. 3e-news
  6. Да се използва нулева транзакция от банкова карта, номер на мобилен телефон или друг вид ключ за потвърждаване на самоличност при електронно гласуване – това предвижда пуснато за обществено обсъждане техническо задание за изграждане на пилотна система за дистанционно електронно гласуване на Държавна агенция "Електронно управление". Тези алтернативи са предвидени, тъй като засега поне въвеждането на лична карта със специален електронен чип се бави, а пилотното дистанционно електронно гласуване следва да заработи до края на 2018 година. Затова и от „Електронно управление” казват следното в заданието: "До влизане в действие на националната схема за електронна идентификация, съгласно изискванията на Закона за електронната идентификация и действащите нормативни правила за оперативна съвместимост е необходимо да се предвиди интеграция с разработения за нуждите на електронното управление хоризонтален компонент е-автентикация, чрез която да се изпълнят изискванията на действащата нормативна уредба". На практика чрез нулева транзакция с банкова карта и през мобилен телефон следва да се получи числов код за сигурност, който потвърждава т.нар. електронна самоличност. Това е гаранция, че няма как един човек да гласува повече от веднъж. Самата система ще е съставена от два модула – за предварителна регистрация и за самото гласуване, посочва в. "24 часа". Предварителна регистрация ще се прави и на наблюдатели на процеса на гласуване – от ЦИК, като формата и реквизитите на заявленията за наблюдатели се одобряват от ЦИК. Процесът Избирател, който желае да гласува дистанционно по електронен път, се регистрира поне 18 дни преди деня на същинския вот (т.е. не може по-късно), след като е извършил успешна електронна идентификация, не по-късно от два дни, преди да упражни правото си на глас. Модулът автоматично трябва да проверява дали избирателят отговаря на условията за гласуване за съответния вид избор. Модулът трябва да поддържа и публична част, даваща обща информация за регистрираните избиратели, без да разкрива личните им данни. Модулът не трябва да съхранява лични данни за избирателите, освен техните идентификатори. В деня на изборите, при влизане в системата гласоподавателят ще може да избере за какво да гласува – ако се случи така, че в един ден се провежда повече от един вот. След това се зарежда електронна бюлетина, в която се маркира изборът. Системата трябва да може да визуализира различни бюлетини – както такива с указание за преференциален вот, така и такива без такова указание. Предвижда се и допълнително валидиране на подаден глас през приложение за смартфони, с което ще се сканират 2D код и числов код, като приложението ще бъде достъпно за платформите Google Play и Apple Store. Системата позволява на гласоподавателя да провери дали гласът му е отчетен правилно – 2Д баркодът ще бъде сканиран от гласувалия избирател на мобилното му устройство, след това избирателят въвежда получения числов код и мобилното приложение визуализира направения избор или връща съобщение за неверен числов код. По задание обаче електронното валидиране на подадения глас не е задължително за отчитането на гласа. Гласоподавателят ще може да промени вота си в рамките на изборния ден, като се зачита последният подаден глас. Гласуването по интернет трябва да отнема не повече от 5 минути. След като гласът е подаден, системата криптира бюлетината и инициира електронния подпис на избирателя (квалифициран). Криптирането се извършва с публичната част на предварително генерирания криптографски ключ на ЦИК за криптиране на електронните бюлетини и трябва да бъде реализирано изцяло от страна на устройството на избирателя. Системата визуализира комбинация от кодове и/или баркод, чрез които да бъде извършена проверка дали гласът е съхранен по начина, по който е бил подаден. Този, който ще създаде системата, трябва да предложи конкретен метод за проверката. Освен това, в техническото задание е посочено, че пилотната система за дистанционно електронно гласуване следва да работи на всякакви операционни системи и през всички браузъри. Какво следва? Общественото обсъждане ще продължи до 12 август. След това проектът ще бъде пратен за одобрение от ЦИК. Ако Комисията не го одобри, процедурата се спира. Ако има одобрение, ще бъде пусната обществена поръчка на стойност 1,5 млн. лева без ДДС. Припомняме обаче, че ЦИК вече поиска отлагане на електронното гласуване – защото рискът от контролиран вот бил по-голям, отколкото при вот с хартиени бюлетини. Засега Народното събрание няма становище по искането на ЦИК. Според Изборния кодекс дистанционно електронно гласуване трябва да има за изборите за Европейски парламент през 2019 година. Expert.bg
  7. chapoblan

    OSCP помощ с лаб машините

    Тези точки са за да поддържаш живота на определени сертификати, след като вече си го придобил, а не са необходими за да го притежаваш. Със сигурност знам, че това се отнася за CISSP. За него специално има и доста други изисквания, а срокът му е 10г, след което отново трябва да учиш новостите и да караш изпит. При OSCP не ти трябват точки, а и сертификатът е доживотен. Аз лично повече ценя сертификати от offsec, от колкото останалите "а/б/в/г"-тип, но вторите са ценни за тези които гонят кариера.
  8. В края на миналата седмица главният прокурор на Израел повдигна обвинение на бивш служител на компанията за киберсигурност NSO Group за това, че е откраднал сорс код, свързан със софтуерен продукт, което е бил продаван на клиенти на правителството като инструмент за следене. Бившият служител на NSO, чиято самоличност не се разкрива заради израелското законодателство, се опитал да продаде откраднатия код на конкуренти срещу 50 млн. долара в криптовалути, но потенциален купувач информирал компанията, се казва в обвинителния акт. Според източници на CNBC, преди това от NSO разбрали за евентуалната кражба благодарение на вътрешна система за предотвратяване на загуба на данни. Властите получили кода за софтуера Pegasus на NSO, преди да бъде продаден, според същите източници, пожелали анонимност. NSO, която има връзки с израелската армия, е известна със своите софтуерни продукти, които моат да бъдат използвани за пробиване на кодирането на смартфони. Индидентът обаче е пример за това колко трудно може да бъде дори и за компании, занимаващи се с киберсигурност, да се справят адекватно със служители, които се превръщат във вътрешна заплаха. Кражбата на сорс код и незаконната му продажба или отнасянето му в друга компания не е нещо ново. Преди време Waymo заведе дело срещу Uber заради кражбата на търговски тайни от страна на бивш служител. Uber постигна извънсъдебно споразумение по-рано тази година, предоставяйки на Waymo дял в компанията на стойност 245 млн. долара и обещавайки да не използва информацията от Waymo. През 2009 г. бивш служител на Goldman Sachs открадва ценен сорс код за софтуер за високоскоростна търговия, преди да бъде уволнен, арестуван и съден. През годините делото претърпя сериозни обрати, а програмистът Сергей Алейников наскоро изгуби обжалване. Настоящото дело с участието на NSO Group е уникално заради това, че откраднатият код е създаден от експерти по сигурността. Софтуерът на NSO се използва за следене, основно от страна на клиенти на правителството, и може да бъде използван за пробив на защитата на устройства, като смартфони iPhone, които принадлежат на техните мишени. Софтуерът се следи отблизо от израелското правителство, което определя кой може да го купува и как да го използва, според хора, запознати с технологията. Предполагаемият крадец е 38-годишен бивш служител, който взел кода за Pegasus, след като останал недоволен от това, че бил накаран да участва в интервю за работа. Изискване към израелските компании е да правят подобни интервюта, преди да уволнят някого. След като системата за предотвратяване на загуба на данни информира NSO за потенциалната кражба, компанията стигнала до въпросния служител, след като разбрала, че той е свалял чувствителна информация. От компанията не били сигурни какви са намеренията му, затова информират потенциални купувачи в индустрията, че той може да се опита да го продаде. Бившият служител се свързал с един от тези инсайдъри, който пък уведомил NSO. От компанията проследили преговорите между купувача и продавача и заедно с израелските власти установили, че това е престъпна дейност. Обвинението срещу бившия служител идва в период, в който се смята, че NSO е обект на придобиване от друга компания. През май Wall Street Journal писа, че щатската Verint Systems, която има офис и в Израел, води преговори за придобиването на NSO срещу 1 млрд. долара. Други компании също проявяват интерес към NSO. Всички потенциални купувачи са били уведомени с подробности за кражбата. profit.bg
  9. Нов анализ от Cybersecurity Ventures предвижда, че до 2021 г. ще има 3.5 милиона незаети работни места в сектора за киберсигурност, което е увеличение спрямо 1 милион през миналата година. Данните за заетостта в САЩ и Индия подчертават кризата в кадрите при киберсигурността. През 2017 г. работят близо 780 000 души в сектор киберсигурност в САЩ, а има и приблизително 350 000 открити работни места. Сегашният брой на отворените работни места за киберсигурност в САЩ се увеличава от 209 000 през 2015 г. По това време броят на работните места е нараснал със 74 процента през предходните пет години според анализ на Peninsula Press. С тази скорост САЩ са на път да достигнат половин милион или повече незапълнени позиции за киберсигурност до 2021 г. Националната асоциация на дружествата за софтуер и услуги (NASSCOM) наскоро оцени, че само Индия ще се нуждае от 1 милион професионалисти в областта на киберсигурността до 2020 г., за да отговори на изискванията на бързоразвиващата се икономика. Търсенето на тези специалисти в Индия ще се увеличи във всички сектори поради безпрецедентния ръст на броя на кибератаките. Въпреки че разполага с най-големия талант за информационни технологии в света, Индия е малко вероятно да създаде адекватен брой кадри, за да запълни недостига в сектора. "Всяка IT позиция сега също е позиция по киберсигурност" според доклад на Cybersecurity Jobs. "Всеки IT служител и всеки технологичен работник трябва да се ангажира със защитата на приложения, данни, устройства, инфраструктура и хора." Ако това е вярно, тогава недостигът на работната сила в отрасъла на киберсигурността е дори още по-лош от това, което анализаторите предполагат в момента. hicomm.bg
  10. Днес и аз получих своя OSCP сертификат. Отварям тази тема с идеята да се помага на новите курсисти с насоки, без разбира се да подсказва!
  11. Не отказвам идеи и предложения за подобрение на функционалности и дизайн/лого и тн. Не бързаме за никъде. Който има идеи, нека пусне 1-2 от най-добрите си такива
  12. За съжаление няма такава възможност към момента. Кой клуб искаш да бъде променен и на каква поверителност?
  13. Recently, during a white-box penetration test for one of our clients, we discovered several security issues related with the relatively popular KirbyCMS (Starterkit). The vulnerabilities are not of any sort of major security concern but are considered bad practice and can subsequently (in some cases) lead to a more severe vulnerability related to this. The uncovered vulnerabilities are as follows: Insecure hash generation and management; Possibility for process timing attacks; Insufficient entropy for quickRandom() (fall-back method); 1. Insecure Hash Generation and Management The Kirby CMS utilizes bcrypt as its hash function. While bcrypt itself is a good choice, its implementation in this case is insecure and impractical. A snippet from the source code is given below. kirby/vendor/getkirby/toolkit/lib/password.php public static function hash($plaintext) { $salt = substr(str_replace('+', '.', base64_encode(sha1(str::random(), true))), 0, 22); return crypt($plaintext, '$2a$10 . $salt); } There are several issues with the code and they are laid out below as follows: The bcrypt signature $2a$ is deprecated due to high-bit attacks. Despite being highly difficult to execute such an attack, it is still a vulnerability. This is also specified in the PHP documentation. The cost factor is hard-coded in the source code (rounds of blowfish encryption = 2cost factor). That is the value after the signature $10$. In this way a higher cost may not be picked unless manually changed. Salt is generated using a custom function which is low on entropy thus making the salt generation predictable. In PHP7+, the parameter for specifying a salt is deprecated due to security concerns. We benchmarked the entropy for several runtimes and the average entropy is 2.569 which is extremely low for cryptography usage in a high-level language such as PHP. The results, at a recommended boundary of 11, are displayed below. Even when defining fall-backs, one should use a function that is cryptographically secure. Examples of such are random_int(), random_bytes(). A general assumption is that all functions that derive entropy from the underlying system pool are considered cryptographically secure. 2. Possibility for process timing attacks As of version 2.1+, the Kirby CMS (starterkit) implements a non-constant-time algorithm (!= O(1)) for hash comparison within the Password class. Source: vendor/getkirby/toolkit/lib/password.php: class Password { ... /** * Checks if a password matches the encrypted hash * * @param string $plaintext * @param string $hash * @return boolean */ public static function match($plaintext, $hash) { return crypt($plaintext, $hash) === $hash; } } The execution time for a non-constant-time algorithm used in logical comparison depends linearly on the number of '1' bits in the string. While the number of '1' bits alone is not nearly enough information to make finding the string that return bool(true), repeated executions with the same (first) bits and different inputs can be used to perform statistical correlation analysis of timing information to recover the bool(true) value completely, even by a passive attacker. An elementary example is presented below where a table chart with three run-time attempts has been recorded. Observing the data a pattern emerges under the Average column where a longer time of processing is noticeable for the 11th bit of our test. This would signify that the 11th bit is the most likely length of the bool(true) value (hashed password in this case). The Kirby (Starterkit) CMS is open-source and it could be freely audited by any third-party. This would pose a security threat under certain circumstances and in conjunction with a type of an exhaustive search attack, could lead to account takeover and possibility for privilege escalation. 3. Insufficient entropy for quickRandom() (fall-back method) The quickRandom() method is a fall-back method that is used to generate cryptographically secure values, relying that they would be random enough so as not to be guessable. However, the quickRandom() method relies on PHP functions that are not to be used for cryptographic purposes: public static function quickRandom($length = false, $type = 'alphaNum') { if(!$length) $length = rand(5, 10); $pool = static::pool($type, false); // catch invalid pools if(!$pool) return false; return substr(str_shuffle(str_repeat($pool, $length)), 0, $length); } The functions used here are substr(), str_shuffle(), str_repeat(). It is explicitly noted in the PHP docs that str_shuffle() should not be used for generating cryptographically secure values: Caution This function does not generate cryptographically secure values, and should not be used for cryptographic purposes. If you need a cryptographically secure value, consider using random_int(), random_bytes(), or openssl_random_pseudo_bytes() instead. If you are using the KirbyCMS Starterkit, consider upgrading to the release candidate that has been published as of June 27, 2018. More information can be found at the vendor's official website: https://getkirby.com/changelog/kirby-2-5-11-RC-1 TAD GROUP's Blog
  14. WebRTC е API, изготвен от World Wide Web Consortium (W3C), който поддържа браузър-към-браузър приложения за видео чат, гласова комуникация и P2P файлово споделяне, без нуждата от външни плъгини. През май 2011 г. Google стартира проект за браузър-базирана платформа за уеб-комуникация в реално време с отворен код, известна като WebRTC. Версията на W3C е в процес на работа по усъвършенстване и реализация в браузърите Chrome и Firefox. Според Mozilla, възможността WebRTC да издаде информация посредством уеб браузъра на посетителя, не е уязвимост, а функционалност. За целта, браузърите трябва да спазват три изисквания изложени в чернова, публикувана на IETF организацията. Какво, обаче, е предпоставка за притеснение и защо се класифицира като уязвимост от множество хора онлайн? Каква е заплахата? Въпреки че тази функция може да бъде полезна за някои потребители, тя представлява заплаха за всеки, който използва проксиращ сървър (Web Proxy, VPN или друг вид) и се стреми да поддържа анонимност онлайн, без да разкрива истинския си IP адрес". Приложение WebRTC може да бъде използван за разкриването на истинския ви IP адрес, както и на вашия локален IP адрес. Това е възможно чрез STUN заявки с браузърите на Firefox, Chrome и Opera, дори когато използвате VPN. Накратко това означава, че всеки сайт може да изпрати няколко конкретни заявки посредством Javascript, за да получи вашия истински IP адрес посредством използвания от вас уеб браузър. Гарантират ли ни пълна анонимност използваните VPN услуги? Отговорът на този въпрос е също толкова труден, колкото и самият въпрос – може би. За да сте най-добре информирани, е препоръчително да се обърнете към използвания от вас доставчик на VPN услуги, за да проверите дали от тяхна страна се предлага допълнителна защита, която предпазва от изтичане на информация посредством WebRTC. Решение на проблема Съществуват няколко решения на проблема, като някои от тях са: Изключването на WebRTC функционалността от браузъра, който използвате. Използването на външни плъгини и добавки към браузърита, които да блокират уязвимостта. Имайте впредвид, че това решение не винаги е на 100% сигурно. Използването на VPN, който има политика за защита срещу WebRTC. Някои от тях са – ExpressVPN, HoxxVPN, Perfect Privacy Използването на Tor Browser, в който по подразбиране има изключен WebRTC и имплементирани някои други защити. Тъй като Google Chrome и базираните на него други браузъри нямат възможност за изключване на WebRTC под Desktop, единствените 2 варианта за предпазване остават използването на добавки и горепосочените VPN услуги. За да изключите WebRTC от Mozilla Firefox напишете about.config в URL полето и след това в полето за търсене въведете "media.peerconnection.enabled". Кликнете два пъти върху предпочитанието, за да промените стойността на "false". За да изключите WebRTC от мобилната версия на Chrome въведете в URL полето chrome://flags/#disable-webrtc, след което намерете WebRTC STUN origin header и го изключете. За да изключите WebRTC от Opera ще се наложи също както при Chrome да използвате външна добавка, която се казва WebRTC Leak Prevent. След това в разширените опции за разширението WebRTC Leak Prevent изберете "Disable non-proxied UDP (force proxy)" и след това щракнете върху Apply settings. TAD GROUP's Blog
×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.