LINUX.ORG.RU
ФорумTalks

uBlock origin - DNS-шпион!

 ,


4

6

Да, так и есть - этот плагин, которым давно пользуюсь, был только что чисто случайно изобличен, что он «сливает» DNS-запросы в обход ваших настроек.

Сегодня устал как собака, подробности завтра.
Но по названию темы вы сами поняли, о чем речь, и сможете смоделироватьс ситуацию.


Перемещено Shaman007 из security

★★★★★

— Знаешь, как заинтриговать человека?

— Как?

— Завтра скажу.

Alden ★★★★
()
Последнее исправление: Alden (всего исправлений: 1)
Ответ на: комментарий от Legioner

гугл, который надёжно хранит эти данные

Ох лол. Срочно напишите, что вы тролль. Желательно - на зарплате. Иначе публика сочтёт, что вы, как бы то сказать помягче, клинически наивны.

LittleKawaiiNeko ★★
()

Ну, вообще, это не секрет давно. Но ты проверь хорошенько всякие SafeBrowsing сливы и т.д.

Gonzo ★★★★★
()
Ответ на: комментарий от karton1

80% рекламы режется простейшим аддоном, написанным самостоятельно на коленке. Доверять в этом вопросе другим - огромная наивность.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 1)
Ответ на: комментарий от LittleKawaiiNeko

Есть факты слива данных из гугла? Я таких не припомню. У гугла работают профессионалы высшей категории, там защита капитальная.

Legioner ★★★★★
()
Ответ на: комментарий от fernandos

На первом сайте враньё. В лучшем случае это слитые кейлоггерами и фейксайтами пароли. На втором сайте ерунда какая-то, это не взлом.

Собственно я свои пароли периодически проверяю на https://haveibeenpwned.com/ и gmail ни разу не сливался. А вот другие сайты порой сливаются, ага.

Legioner ★★★★★
()
Последнее исправление: Legioner (всего исправлений: 2)

Стоило-бы хотя-бы погуглить вопрос на гитхабе ublock’а перед тем как поднимать панику. Функция вызывающая «слив DNS запросов» называется cname uncloaking, вот даже статья на ней на хабре есть: https://habr.com/ru/company/vdsina/blog/553114/

Работает она сейчас только firefox’е, и да, производит DNS-резолв адреса в обход настроек прокси-сервера. Сам я точно эту проблему не наблюдаю, так как не пользуюсь ublock’ом или прокси-сервером в браузере, но это 100% она:

Эту проблему резолва DNS при использовании прокси никак не решить: у прокси-серверов (что у http, что у socks) - нет функционала типа «а резолвни-ка мне вот этот вот адресочек». Работа браузера через прокси происходит ВООБЩЕ без выполнения DNS запроса. DNS запрос выполняет сам прокси сервер, и тут уже вопросы к нему как он это делает. А браузер даже тупо не знает к какому IP адресу уходит запрос. Можете сами проверить - выключите ublock, очистите кеш, настройте локальный socks прокси на 127.0.0.1 и попробуйте зайти на какой-нибудь сайт с открытой отладочной-панелью «сеть» (F12) и посмотрите какие адреса показывает браузер во всплывающих подсказках.

Так что для того что-бы расширение ublock могло определить IP адрес при использовании прокси - ему требуется совершить DNS запрос. Который проксировать через HTTPS/Socks прокси нельзя. Отсюда и «утечка».

Я в своё время очень с этими «утечками» DNS запросов при использовании прокси намучался когда настраивал корпоративный прокси с самописными расширениями для файрфокса / локальный прокси для дампа запросов ещё несколько лет назад.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 4)

Заждались? :-) Вот вам обещанное, его уже промодерировали.

Разместил на стороннем сайте, потому что там есть возможность втыкивать картинки.

chukcha ★★★★★
() автор топика
Ответ на: комментарий от chukcha

Ну ты паникёр. Отключи CNAME uncloaking в настройках ublock’а и попробуй снова.

А потом погугли про эту фичу на гитхабе, и почитай issues. Потом почитай моё сообщение выше, статью на хабре. А потом удали свою статью (и извинись на видео. шутка)

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 2)

https://whoer.net/ru/dns-leak-test

пусть и считает что запросы «не защищены», но нашел только IP двух DNS серверов (оба мои)


Firefox,
FoxyProxy
trr = 2, DoH (свой)
системный DNS - pdns с мультиплексом на 2 DNS сервера через WireGuard

Sylvia ★★★★★
()
Ответ на: комментарий от DawnCaster

DawnCaster: Чего-чего?? Почему я, простой пользователь обязан искать какие-то хитромудрые шпионские настройки и выключать их?
Я о них знать не знаю и не должен знать.

А во вторых - нафига этот пакостник включил их умолчанию?
Это явный расчет на, что юзер не догадается о сливе, и будет юзать расширение, сливая о себе инфу.

Да и зачем вообще этот «CNAME uncloaking»? В «палемуновском» uBlock его нет, и никто никуда ничего не сливает.

chukcha ★★★★★
() автор топика
Последнее исправление: chukcha (всего исправлений: 1)
Ответ на: комментарий от chukcha

Автор прямо наглядный пример пословицы «Слышу звон, да не знаю где он».

Valar
()
Ответ на: комментарий от chukcha

А почему вы считаете, что использовать системный DNS это «сливать о себе инфу» ?

Вам кто-то не дает использовать надежный системный DNS, которому вы могли бы доверять?

Sylvia ★★★★★
()
Ответ на: комментарий от chukcha

Почему я, простой пользователь

Простой пользователь не пользуется проксями. А если и пользуется, то для всяких мелочей вроде рутрекера. А непростой пользователь которому реально есть чего скрывать и за которым за его активность реально может приехать пативагон - изолирует браузер другими методами. И регулярно проводит аудит своей среды на наличие таких вот проблем. Так что вы, батенька, просто эталонный ССЗБ.

Автор ublock вам тоже ничего в плане безопасности и совместимости с вашими кривыми настройками - не обещал.

А во вторых - нафига этот пакостник включил их умолчанию?

Как раз для простых пользователей он его и включил. Рекламу фильтрует эффективнее, см. статью на хабре по моей ссылке выше.

Да и зачем вообще этот «CNAME uncloaking»? В «палемуновском» uBlock его нет, и никто никуда ничего не сливает.

см. статью на хабре по моей ссылке выше.

Утечки DNS запросов из браузера или другого софта в обход настроек прокси - известнейшая проблема, ей уже 100 лет в обед. Потому что прокси не умеет резолвить IP адреса для вызываюего его внешнего кода. И когда внешнему коду нужно именно зарезольвить DNS - это будет сделано напрямую в обход прокси. В разных вариантах эта проблема периодически всплывает то тут, то там. С ней сталкивался, наверное, каждый web-разработчик который пытался дампить свой трафик через локальный прокси сервер и каждый админ. Стыдно вообще не знать. Вернее, стыдно не уметь гуглить такие элементарные вещи.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 3)
Ответ на: комментарий от Sylvia

что использовать системный DNS это «сливать о себе инфу» ?

Дык, может он кулхацкер который ломает пентагон. И теперь сидит на измене что с минуты на минуту услышит три волшебных слова: «FBI OPEN UP!»

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

Простой пользователь не пользуется проксями.

Ну, значит я наполовину простой пользователь :) И для меня важнее анонимность, чем лучшая чистка мусора.
Но все равно этот Раймонд гад! Потому что если он ввел эту фичу, то должен был по умолчанию ее выключить.
И если юзер ее включает, то должен всплыть хинт с предупреждением, что начнется слив инфы.

Рекламу фильтрует эффективнее, см. статью на хабре по моей ссылке выше.

За счет слива моей инфы? Нафиг-нафиг! Для чего тогда закон придумали о защите персональных данных? Хотя он реально почти не действует, но все же он есть.

Вашу хабровскую статью прочел, хотя мало что понял. В частности - почему бы DNS-запросам не проходить через тот же туннель, и уже там, на выходе ресолвить имена? Ну, тут согласен, моих знаний явно не хватает для понимания.

А панику все-таки я не зря поднял. Во-первых, обозначил проблему, о которых простые юзеры даже не догадываются.
Во-вторых, если написать на гитхаб, то может этот пакостник сделает то, что я предложил выше.

chukcha ★★★★★
() автор топика
Ответ на: комментарий от tfeartx

Я не верю твоим словам

Да-да, конечно-конечно, гуглозонды несомненно всегда отключаются простым крыжиком в настройках.

Что показательно - проверять отказался

Тупая школота требующая пруфца заслуживает максимального курощения, низведения и игнорирования.

Stanson ★★★★★
()
Ответ на: комментарий от chukcha

что начнется слив инфы.

Использование штатного DNS из ОС - это не слив инфы. Я не спец по безопасности, но если вам надо контролировать этот канал «слива» информации - то браузер надо изолировать как-то совсем по другому.

Задача прокси сервера в браузере - не вашу безопасность обеспечивать. Какой-нибудь WebRtc точно также по запросу с сайта сольет ему и ваш внутренний (lan) IP адрес и внешений IP адрес. Если вы погуглите про современные web-технологии, то там много таких вот моментов как можно получить какие-то данные о вас и вашем подключении в обходы всех проксей.

Для чего тогда закон придумали о защите персональных данных? Хотя он реально почти не действует, но все же он есть.

Точно не для того что-бы регулировать моменты с кривой настройкой браузера у пользователей. Да и DNS запросы сами по себе не персональные данные.

В частности - почему бы DNS-запросам не проходить через тот же туннель, и уже там, на выходе ресолвить имена?

Потому-что ни HTTPS ни SOCKS - не умеет обрабатывать DNS запросы от браузера и выдавать ему на выходе IP адрес. Всё что умеет прокси сервер - это подключиться к адресу к которому его просит подключиться браузер. Целевой адрес может быть либо в виде имени либо в виде IP адреса передан. У прокси сервера нет функционала «следай мне DNS-резолв такого-то имени через себя и передай мне назад список IP адресов». И подобный запрос от расширения браузер выполняет напрямую. Именно это вы и видите как «утечку».

Во-вторых, если написать на гитхаб, то может этот пакостник сделает то, что я предложил выше

Вы бы хоть issues поискали на гитхабе что-ли. Уже всё давно обсудили до вас. Хотя лучше создайте новую. Вас быстрее направят куда надо, чем вы будете сами искать, раз уже не нашли. Не забудьте ссылку на вашу статью там дать, пускай поржут.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 1)
Ответ на: комментарий от LittleKawaiiNeko

Ну может он на Google Jigsaw работает. Они давеча очень сильно сокрушались по поводу адблокеров которые очень мешают им отслеживать hate speech, toxic conversations и harmful misinformation на площадках неподконтрольных гуглю-пейсбуку.

Stanson ★★★★★
()
Ответ на: комментарий от Sylvia

фуфлышный тест, обычный FUD чтобы продавать свою «защищеную» парашу.

на мой тоже тявкает что незащищено, но у меня dnscrypt.

n_play
()
Ответ на: комментарий от tfeartx

А ну если ты все нужные галки выключишь, то не будет слать. Но их так много что даже авторы тор браузера иногда забывают все нужные галки поубирать. Вопрос в том какой процент пользователей знает про все галки и выключает их.

peregrine ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Там даже стандарты какие то есть, типа урлы отправляются в виде хеша и всё такое, но эт такое себе.

Рассмешило, на сервере радужная таблица есть.

peregrine ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.