Brave a résolu un problème de confidentialité dans son navigateur qui envoyait des requêtes pour les domaines .onion aux résolveurs DNS Internet publics plutôt que de les acheminer via des nœuds Tor, exposant ainsi les visites des utilisateurs à des sites Web sombres.

Le bogue a été résolu dans un correctif Libération (V1.20.108) mis à disposition hier.

Des vaisseaux courageux avec une fonction intégrée appelée “Fenêtre privée avec Tor“qui intègre le Tor réseau d’anonymat dans le navigateur, permettant aux utilisateurs d’accéder aux sites Web .onion, qui sont hébergés sur le darknet, sans révéler les informations d’adresse IP aux fournisseurs de services Internet (FAI), aux fournisseurs de réseau Wi-Fi et aux sites Web eux-mêmes. La fonctionnalité a été ajoutée dans Juin 2018.

auditeur de mot de passe

Ceci est réalisé en relayant les demandes des utilisateurs pour une URL d’oignon via un réseau de nœuds Tor gérés par des bénévoles. Dans le même temps, il convient de noter que la fonctionnalité utilise Tor comme un proxy et n’implémente pas la plupart des protections de confidentialité offertes par Tor Browser.

Mais selon un rapport divulgué pour la première fois sur Ramble, le bogue portant atteinte à la vie privée dans le mode Tor du navigateur a permis de divulguer toutes les adresses .onion visitées par un utilisateur aux résolveurs DNS publics.

“Votre FAI ou votre fournisseur DNS saura qu’une demande adressée à un site Tor spécifique a été faite par votre adresse IP”, le message lire.

Les requêtes DNS, de par leur conception, ne sont pas chiffrées, ce qui signifie que toute demande d’accès aux sites .onion dans Brave peut être suivie, ce qui va à l’encontre de l’objectif même de la fonction de confidentialité.

Ce problème provient du navigateur CNAME fonctionnalité de blocage des publicités qui bloque les scripts de suivi tiers qui utilisent des enregistrements DNS CNAME pour usurper l’identité du script propriétaire lorsque ce n’est pas le cas et éviter la détection par les bloqueurs de contenu. Ce faisant, un site Web peut masquer des scripts tiers à l’aide de sous-domaines du domaine principal, qui sont ensuite automatiquement redirigés vers un domaine de suivi.

Brave, pour sa part, avait déjà connaissance préalable du problème, car il a été signalé sur la plate-forme de bounty HackerOne le 13 janvier, à la suite de quoi le problème de sécurité a été résolu dans une version nocturne il y a 15 jours.

Il semble que le patch était initialement prévu à déployer dans Brave Browser 1.21.x, mais à la suite de la divulgation publique, la société a déclaré qu’elle le poussait vers la version stable du navigateur publiée hier.

Les utilisateurs de navigateur Brave peuvent se diriger vers Menu en haut à droite> À propos de Brave pour télécharger et installer la dernière mise à jour.



Leave a Reply