dans ,

Un bug de confidentialité de brave expose les URL de l’oignon Tor à votre fournisseur DNS

Brave Browser corrige un problème de confidentialité qui divulgue les adresses URL de l’oignon Tor que vous visitez sur votre serveur DNS configuré localement, exposant les sites Web sombres que vous visitez.

Brave est un navigateur basé sur Chromium qui a été modifié dans un souci de confidentialité, y compris un bloqueur de publicités intégré, des contrôles de données étroits et un mode de navigateur Tor intégré pour naviguer sur le Web de manière anonyme.

Les sites Web situés sur Tor utilisent des adresses URL d’oignon auxquelles les utilisateurs ne peuvent accéder que via le réseau Tor. Par exemple, l’adresse Tor de DuckDuckGo est https://3g2upl4pq6kufc4m.onion/ et l’adresse de New York Time est https://www.nytimes3xbfgragh.onion/.

Pour accéder aux URL de Tor onion, Brave a ajouté un mode «  Fenêtre privée avec Tor  » qui agit comme un proxy pour le réseau Tor. Lorsque vous essayez de vous connecter à une URL d’oignon, votre demande est envoyée par proxy via des nœuds Tor gérés par des bénévoles qui font la demande pour vous et renvoient le HTML renvoyé.

Brave's Private Windows avec le mode de navigation Tor
Brave’s Private Windows avec le mode de navigation Tor

En raison de cette implémentation de proxy, le mode Tor de Brave ne fournit pas directement le même niveau de confidentialité que l’utilisation du  navigateur Tor .

Brave fuit les requêtes Tor DNS

Lorsque vous utilisez le mode Tor de Brave, il doit transmettre toutes les demandes aux proxies Tor et ne pas envoyer d’informations à des appareils Internet non Tor pour augmenter la confidentialité.

Cependant, un bogue dans le mode «  Fenêtre privée avec Tor  » de Brave fait que l’URL d’oignon de toute adresse Tor que vous visitez est également envoyée en tant que requête DNS standard au serveur DNS configuré de votre machine.

Ce bogue a été signalé pour la première fois dans un article de Reddit , puis confirmé par  James Kettle , le directeur de la recherche chez PortSwigger.

BleepingComputer a également vérifié les déclarations en utilisant Wireshark pour afficher le trafic DNS tout en utilisant le mode Tor de Brave.

Comme vous pouvez le voir dans la vidéo ci-dessous, lors de la visite des URL d’oignon de DuckDuckGo et du NY Times en mode navigateur Brave’s Tor, le navigateur a également effectué des requêtes DNS sur notre serveur DNS configuré localement, les serveurs publics de Google à l’adresse IP 8.8.8.8.

Brave est au courant de ce bogue car il a été  signalé sur la page de leur projet GitHub il y a  dix-huit jours, et les développeurs ont déjà créé un correctif.

Ce problème est dû à la fonction de désactivation du blocage des publicités CNAME de Brave, qui bloque les scripts de suivi tiers qui utilisent des enregistrements DNS CNAME pour se faire passer pour un script propriétaire .

Pour empêcher l’envoi d’URL Tor aux serveurs DNS configurés, Brave a désactivé la fonction de blocage des publicités CNAME en mode de navigation Tor.

 » Suite à une discussion sur Slack avec  @bridiver  et  @iefremov , nous sommes parvenus à la conclusion que la désactivation de l’adblock CNAME pour Tor serait la meilleure option maintenant. Considérant que pour faire le routage DoH via Tor, nous devons supprimer  LOAD_BYPASS_PROXY pour les transactions DNS, mais cela pourrait introduire dns et bouclage de code proxy lorsque nous devons résoudre le nom du proxy », ont expliqué les développeurs de Brave dans le problème signalé.

Ce correctif devait initialement être déployé dans la version bêta 1.21.x de Brave Browser, mais le développeur de Brave Browser, Yan Zhu, a tweeté qu’un correctif serait mis à jour vers la prochaine version Stable.

Si vous aimez le contenu et souhaitez soutenir l’amélioration du site,
pensez à apporter votre contribution en cliquant ici s’il vous plaît ! CE N’EST PAS OBLIGATOIRE, MERCI! : ‘)

Qu'est-ce que tu penses?

Écrit par MrBot

Comments

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Loading…

0
Paye moi un café pour mon taf .

Buy me a coffee

Une TikToker découvre un ancien rapport de la CIA selon lequel les humains pourraient quitter leur corps

[USA] Une vidéo déchirante montre des flics tuant une maman alors que ses deux tout-petits hurlent d’horreur