Suicide
17.06.2020, 21:49
В Firefox и Chrome выявлена (https://github.com/samduy/blog/tree/master/firefox/privacy-leakage) особенность обработки набранных в адресной строке поисковых запросов, которая приводит (https://bugzilla.mozilla.org/show_bug.cgi?id=1642623) к утечке сведений через DNS-сервер провайдера. Суть проблемы в том, что если поисковый запрос состоит только из одного слова браузер вначале пытается в DNS определить наличие хоста с таким именем, полагая, что пользователь пытается открыть поддомен, и уже потом перенаправляет запрос поисковой системе. Таким образом, владелец DNS-сервера, указанного в настройках пользователя, получает сведения о состоящих из одного слова поисковых запросах, что оценивается как нарушение конфиденциальности.
Проблем проявляется при использовании как DNS-сервера провайдера, так и сервисов "DNS over HTTPS" (DoH), в случае задания в настройках DNS-суффикса (устанавливается по умолчанию при получении параметров по DHCP). При этом, даже при включении DoH, запросы продолжают отправляться через указанный в системе DNS-сервер провайдера. Важно, что попытка резолвинга осуществляется только при отправке поисковых запросов, состоящих одного слова. При указании нескольких слов обращение к DNS не производится.
https://www.opennet.ru/opennews/pics_base/0_1592414927.png (https://www.opennet.ru/opennews/pics_base/0_1592414919.png)
Проблема подтверждена в Firefox и Chrome, а также возможно затрагивает и другие браузеры. Разработчики Firefox согласились с наличием проблемы и намерены (https://bugzilla.mozilla.org/show_bug.cgi?id=1642623) предоставить решение в выпуске Firefox 79. В частности, для управления поведением при обработке поисковых запросов в about:config добавлена (https://bugzilla.mozilla.org/show_bug.cgi?id=1642943) настройка "browser.urlbar.dnsResolveSingleWordsAfterSearch", при установке которой в значение "0" резолвинг блокируется , "1" (по умолчанию) используется эвристика для выборочного резолвинга и "2" сохраняется старое поведение. Разработчики Chrome пообещали (https://bugs.chromium.org/p/chromium/issues/detail?id=1070282) ограничить утечку через DNS, но сообщение (https://bugs.chromium.org/p/chromium/issues/detail?id=479620) о похожей проблеме остаётся нерешённым с 2015 года. В Tor Browser проблема не проявляется.
17.06.2020
https://www.opennet.ru/opennews/art.shtml?num=53178
Проблем проявляется при использовании как DNS-сервера провайдера, так и сервисов "DNS over HTTPS" (DoH), в случае задания в настройках DNS-суффикса (устанавливается по умолчанию при получении параметров по DHCP). При этом, даже при включении DoH, запросы продолжают отправляться через указанный в системе DNS-сервер провайдера. Важно, что попытка резолвинга осуществляется только при отправке поисковых запросов, состоящих одного слова. При указании нескольких слов обращение к DNS не производится.
https://www.opennet.ru/opennews/pics_base/0_1592414927.png (https://www.opennet.ru/opennews/pics_base/0_1592414919.png)
Проблема подтверждена в Firefox и Chrome, а также возможно затрагивает и другие браузеры. Разработчики Firefox согласились с наличием проблемы и намерены (https://bugzilla.mozilla.org/show_bug.cgi?id=1642623) предоставить решение в выпуске Firefox 79. В частности, для управления поведением при обработке поисковых запросов в about:config добавлена (https://bugzilla.mozilla.org/show_bug.cgi?id=1642943) настройка "browser.urlbar.dnsResolveSingleWordsAfterSearch", при установке которой в значение "0" резолвинг блокируется , "1" (по умолчанию) используется эвристика для выборочного резолвинга и "2" сохраняется старое поведение. Разработчики Chrome пообещали (https://bugs.chromium.org/p/chromium/issues/detail?id=1070282) ограничить утечку через DNS, но сообщение (https://bugs.chromium.org/p/chromium/issues/detail?id=479620) о похожей проблеме остаётся нерешённым с 2015 года. В Tor Browser проблема не проявляется.
17.06.2020
https://www.opennet.ru/opennews/art.shtml?num=53178