Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×
Sign in to follow this  
chapoblan

WebRTC: уязвимост или функционалност?

Recommended Posts

WebRTC е API, изготвен от World Wide Web Consortium (W3C), който поддържа браузър-към-браузър приложения за видео чат, гласова комуникация и P2P файлово споделяне, без нуждата от външни плъгини. През май 2011 г. Google стартира проект за браузър-базирана платформа за уеб-комуникация в реално време с отворен код, известна като WebRTC. Версията на W3C е в процес на работа по усъвършенстване и реализация в браузърите Chrome и Firefox.

Според Mozilla, възможността WebRTC да издаде информация посредством уеб браузъра на посетителя, не е уязвимост, а функционалност. За целта, браузърите трябва да спазват три изисквания изложени в чернова, публикувана на IETF организацията. Какво, обаче, е предпоставка за притеснение и защо се класифицира като уязвимост от множество хора онлайн?

Каква е заплахата?

Въпреки че тази функция може да бъде полезна за някои потребители, тя представлява заплаха за всеки, който използва проксиращ сървър (Web Proxy, VPN или друг вид) и се стреми да поддържа анонимност онлайн, без да разкрива истинския си IP адрес".

Приложение

WebRTC може да бъде използван за разкриването на истинския ви IP адрес, както и на вашия локален IP адрес. Това е възможно чрез STUN заявки с браузърите на Firefox, Chrome и Opera, дори когато използвате VPN.

Накратко това означава, че всеки сайт може да изпрати няколко конкретни заявки посредством Javascript, за да получи вашия истински IP адрес посредством използвания от вас уеб браузър.

Гарантират ли ни пълна анонимност използваните VPN услуги?

Отговорът на този въпрос е също толкова труден, колкото и самият въпрос – може би.

За да сте най-добре информирани, е препоръчително да се обърнете към използвания от вас доставчик на VPN услуги, за да проверите дали от тяхна страна се предлага допълнителна защита, която предпазва от изтичане на информация посредством WebRTC.

Решение на проблема

Съществуват няколко решения на проблема, като някои от тях са:

  1. Изключването на WebRTC функционалността от браузъра, който използвате.
  2. Използването на външни плъгини и добавки към браузърита, които да блокират уязвимостта. Имайте впредвид, че това решение не винаги е на 100% сигурно.
  3. Използването на VPN, който има политика за защита срещу WebRTC. Някои от тях са – ExpressVPN, HoxxVPN, Perfect Privacy
  4. Използването на Tor Browser, в който по подразбиране има изключен WebRTC и имплементирани някои други защити.

Тъй като Google Chrome и базираните на него други браузъри нямат възможност за изключване на WebRTC под Desktop, единствените 2 варианта за предпазване остават използването на добавки и горепосочените VPN услуги.

За да изключите WebRTC от Mozilla Firefox напишете about.config в URL полето и след това в полето за търсене въведете "media.peerconnection.enabled". Кликнете два пъти върху предпочитанието, за да промените стойността на "false".

За да изключите WebRTC от мобилната версия на Chrome въведете в URL полето chrome://flags/#disable-webrtc, след което намерете WebRTC STUN origin header и го изключете.

За да изключите WebRTC от Opera ще се наложи също както при Chrome да използвате външна добавка, която се казва WebRTC Leak Prevent. След това в разширените опции за разширението WebRTC Leak Prevent изберете "Disable non-proxied UDP (force proxy)" и след това щракнете върху Apply settings.

TAD GROUP's Blog

  • Like 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.