私人浏览模式和DNS-over-https都不会屏蔽你这个数十年的DNS Quirk
一名安全研究人员发现,Firefox和Chrome具有严重的隐私缺陷,该缺陷将用户的搜索词发送给其互联网服务提供商(ISP)未经同意。
恶意攻击者还可以利用该错误,该错误在两个网络浏览器中仍未列出,以跟踪用户的在线行为,beplay体育能用吗杜伊·金在一个Github帖子这是第一次在四月发表的。
即使是隐私保护措施的实施DNS-over-https他补充说,(doh)或使用Pro-Provacy DuckDuckgo搜索引擎无法保护用户。
研究人员告诉每日swbeplay2018官网ig以Chrome的隐身模式或Firefox的私人浏览模式进行浏览并不能阻止隐私泄漏。
没有空间
这脆弱性当用户键入单个单词或连字符分隔的多个单词时,就会出现,并将其按Enters Enter键入浏览器地址栏。(搜索词“无空间”会触发缺陷;“带空格的单词”不会)。
除了生成搜索引擎结果外,搜索词被错误地中继到域名系统(DNS.)属于用户ISP的服务器。
用户可以通过检查其DNS日志来验证数据泄漏。
ISP通常会跟踪哪些网页用户访问(尽管可以通过使用虚拟专用网beplay体育能用吗络来规避这一点),但是主要是浏览器不要故意分享用户的搜索习惯。
研究人员在他的Github帖子警告,还可以通过设置“流氓动态主机配置协议(DHCP)Server”并将“用户的DNS后缀”设置“用户的DNS后缀”来跟踪用户搜索历史。
DNS遗产缺陷
Firefox Desktop副总裁Selena Deckelmann告诉每日swbeplay2018官网ig缺陷是“ [DNS]内置了数十年功能的遗产”,其中“私人和企业网络仍然使用单个单词的网站名称”。beplay体育能用吗
她补充说:“当用户在地址栏中输入单个单词时,Firefox需要确定用户是否打算搜索,或访问这些本地单个单词网站中的一个。beplay体育能用吗
你可能还喜欢Firefox Bug Bounty:Mozilla提高了支出,并放弃了“第一记者获胜”政策
“这些站点永远不会在外部DNS或通过DNS-HTTPS解析器中找到,这就是为什么我们回到咨询本地DNS的原因。”
研究人员在Firefox 75的4月成功地利用了缺陷,最新版本和Chrome 81,自Chrome 83成功以来,但怀疑的版本将“最有可能受到影响”。
“短期缓解”
khuong告诉每日swbeplay2018官网ig修复问题可能会影响用户访问“本地单词网站”的能力。beplay体育能用吗
但是,他建议“应告知用户风险”,并可以选择避免问题。
Deckelmann表示这是Mozilla的计划。
她说:“作为一种短期缓解,我们计划增加对用户在Firefox 78中控制这种行为的偏爱。”“从长远来看,我们希望确定可靠的启发式方法,以限制这些DNS查找的使用。”
Google尚未回应每日swbeplay2018官网ig关于他们自己解决缺陷的计划的疑问。
洞察力DNS-Over-HTTPS指南 - 新的Web协议旨在如何在线保护您的隐私beplay体育能用吗
有趣的是,这个问题已与类似的错误在可追溯到2015年的铬虫轨道轨道上,也没有修复。
4月14日的Chromium团队的最新作品说新冠肺炎一名正在研究该错误的雇员的离开已经延迟了一种补救措施。
“我怀疑这个错误将在Chrome中尽快修复,”研究人员说。
为可能担心隐私泄漏的用户提供建议,Khuong推荐挖掘DHCP并手动设置IP地址,同时确保DNS后缀不包括“不寻常”的地址。
他说每日swbeplay2018官网ig该问题不会影响TOR或Microsoft Edge浏览器。
研究人员于4月13日向Mozilla和Google提醒了该问题。
尽管研究人员于5月13日寄出了提醒,但Firefox仍未做出回应,但错误报告6月2日在Bugzilla开放。
