https://opennet.ru/openforum/vsluhforumID3/101404.html В технологии WebRTC (http://dev.w3.org/2011/webrtc/editor/webrtc.html), предоставляющей средства для аудио- и видео-коммуникаций в режиме реального времени, выявлена проблема с безопасностью (https://github.com/diafygi/webrtc-ips), позволяющая на внешнем сайте определить внутренний IP-адрес пользователя, используемый до трансляции адресов.<br><br><br><br><br>Метод достаточно прост в реализации и основывается на особенностях работы механизма STUN (https://ru.wikipedia.org/wiki/STUN), используемого в WebRTC для организации соединения к системе, выходящей в Сеть через транслятор адресов. Протестировать работу метода можно на данной странице (https://diafygi.github.io/webrtc-ips/), на которой будет показан intranet-адрес. Метод работает в Chrome и Firefox.<br><br><br><br>Информация о внутреннем адресе, например, может использоваться злоумышленниками для определения адреса внутреннего интерфейса шлюза для проведение дальнейшей CSRF-атаки (https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D0%B0%D1%8F https://opennet.ru/openforum/vsluhforumID3/101404.html#85 Fri, 29 Jan 2021 07:14:10 GMT И сильно тебе поможет мой внешний адрес, если мой домашний роутер сам за провайдерским натом? :-D<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#84 Mon, 02 Nov 2015 21:32:07 GMT В Firefox 42 эту уязвимость можно закрыть с помощью media.peerconnection.ice.relay_only = true<br><br>Проверил путём захода на тестовую страницу через Tor:<br>false (по умолчанию) - показало мой реальный IP<br>true = показало IP узла Tor<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#80 Fri, 06 Feb 2015 20:56:54 GMT Хром обновился и уже не помогает(( Зонд имеет нас.<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#79 Fri, 06 Feb 2015 14:59:04 GMT Проверил. Icecat + ublock - адреса не показало. <br>Opera 12 + Tor - не показало. <br>Chrome - показало оба верно. Всё-таки приятно, что пользуюсь правильными браузерами для серфинга, а неправильным - только для видео, где html5 не работает. И гуглокарт. <br> https://opennet.ru/openforum/vsluhforumID3/101404.html#77 Thu, 05 Feb 2015 12:37:49 GMT Много денег могут дать за закрытие уязвимости, но еще больше за неразглашение уязвимости.<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#76 Thu, 05 Feb 2015 12:23:08 GMT про это писали год или полтора назад, с тех пор у всех вменяемых людей webrtc отключен в фф на корню.<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#75 Thu, 05 Feb 2015 11:55:43 GMT Только вот зачем вообще в реализации STUN в браузерах осуществляется выдача внутренних IP-адресов? Ведь для соединений точка-точка нужен только внешний адрес и порт. Именно их и выдаёт STUN-сервер, а остальные адреса браузер собирает самостоятельно через системные функции.<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#74 Thu, 05 Feb 2015 09:26:45 GMT Этот баг до сих пор не пофиксили, хотя бы спрашивая у пользователя, какие ip он готов опубликовать?<br> https://opennet.ru/openforum/vsluhforumID3/101404.html#73 Thu, 05 Feb 2015 08:20:40 GMT Программа Ghostery созданная для свободы имеет несвободную лицензию, этим всё сказано и поставлена жирная точка.<br><br>Особенно при существовании свободных альтернатив ничем не уступающих:<br>Подписок AdBlock Plus (можно выбрать установке).<br>Lightbeam for Firefox https://addons.mozilla.org/en-US/firefox/addon/lightbeam/ - для просмотра статистики.<br>