Brave 浏览器将用户的onion地址泄漏给 DNS提供商
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Brave web 浏览器中的 Tor 模式可允许用户访问 Brave 私密浏览窗口内的 .onion 暗网域名,而无需安装单独的 Tor 软件包。
Brave 浏览器的 Tor 模式出现于2018年6月,可提升用户的隐私,使他们能够访问合法网站如 Facebook、Wikipedia 和大型新闻网站的 .onion 版本。但一名匿名安全研究员本周发布研究报告指出,发现 Brave 的 Tor 模式将 .onion 域名的查询发送到公开的互联网 DNS 解析器中而非 Tor 节点。
虽然这项研究工作最初引发争论,但多名著名的安全研究员复现了这些成果,其中包括 PortSwigger Web Security 的研究总监 James Kettle 和 CERT/CC 团队的漏洞分析师 Will Dormann。此外,另外一名人员也重现并证实了该问题的存在。
这起 DNS 泄漏事件带来的风险重大,因为任何泄漏都会造成 Brave 浏览器用户 Tor 流量在 DNS 服务器日志中的足迹。
Brave 浏览器致力于构建市场上隐私性最强的 Web 浏览器之一,仅次于 Tor Browser。该公司回应称已发布正式修复方案,补丁实际上已在两周前部署到 Brave Nightly 版本,将在下次 Brave 浏览器更新稳定版本中发布。Bug 源自 Brave 内部的广告拦截组件,该组件使用 DNS 查询发现试图绕过广告拦截能力的站点,但忘记检查时执行 .onion 域名。
推荐阅读
Windows DNS Server 远程代码执行漏洞 (CVE-2021-24078) 的详细原理分析
开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞,可劫持数百万台设备
12年前的 Linux bug 复活,DNS 缓存投毒攻击重现
原文链接
https://www.zdnet.com/article/brave-browser-leaks-onion-addresses-in-dns-traffic/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Brave 浏览器将用户的onion地址泄漏给 DNS提供商相关推荐
- Brave浏览器保护用户隐私第2招:第三方页面垃圾过滤
注:这是定期系列博客的第二篇,描述了Brave浏览器中新的隐私功能.本文描述了研究工程师Anton Lazarev.性能研究员Andrius Aucinas.高级隐私研究员Peter Snyder和高 ...
- Brave浏览器或许是你打开元宇宙的正确方式
当你每次打开浏览器,熟悉的导航栏.熟悉的浏览器页面和万年不变的搜索界面,你是否会觉得乏味和烦躁,或许是看到不停死灰复燃的广告弹窗出现的"震惊,某某明星XXX的新闻"而着急点叉号,又 ...
- Brave浏览器月活超千万,小费打赏功能你会用了吗?
优质的内容会让我们追本溯源,无论是浏览网站,在社交媒体上与我们喜欢的有影响力的人交流,还是观看我们的引导频道.引人入胜的原创内容会吸引更多的观众,并且越来越多的人正在寻找奖励他们最喜欢的创作者的方式, ...
- Brave浏览器的数据
主打隐私保护的 Brave 浏览器月活跃用户规模已经超过了 2000 万,相比较去年同期增加了 870 万人.Brave 还表示日活跃用户数量达到了 700 万,而去年只有 300 万.在短短 12 ...
- Tor 浏览器存在严重漏洞 或泄露用户真实 IP 地址
网络安全公司 We Are Segment 研究人员 Filippo Cavallarin 近期在 FireFox 浏览器中发现一处关键漏洞 -- TorMoil,能够导致用户真实 IP 地址在线泄漏 ...
- Brave浏览器 1.0正式面世, 为用户提供无与伦比的隐私保护和奖励
业界最先进的浏览器,提供速度快3-6倍的浏览体验,并通过惠及用户,广告商和出版商的私人广告和支付平台结束监视资本主义 Brave Rewards的iOS版现已推出,完成了跨平台可用性 旧金山,2019 ...
- brave浏览器_Brave浏览器基础使用教程,同时如何通过Brave获取BAT奖励
一.Brave浏览器简介 Brave浏览器是一款基于谷歌浏览器内核的浏览器,Brave的界面跟谷歌浏览器比较相似,大部分支持谷歌商店的扩展程序.这对Chrome用户迁移成本较低. 目前,Brave浏览 ...
- Brave浏览器推出首个基于隐私的广告平台
Brave Ads将70%的收入分成给了用户,为用户提供隐私和控制权的同时,还提供了有效的广告 从今天开始,使用Brave最新版的macOS,Windows和Linux 桌面浏览器的用户可以选择加入B ...
- brave浏览器_区块链浏览器 Brave 为广告观看者提供 BAT 代币奖励
4月24日,去中心化浏览器 Brave 宣布推出 Brave 广告,用户可以通过观看广告获得奖励. Brave 是一个基于区块链的开源浏览器,它过滤了广告以及网站追踪.公告称,Brave 的用户现可以 ...
最新文章
- 公司成立两周年感言_对我的副项目成立一周年的一些反思
- 【FFmpeg】FFmpeg 相关术语简介 ( 容器 | 媒体流 | 数据帧 | 数据包 | 编解码器 | 复用 | 解复用 )
- Vue+Openlayers+HIKVSION实现点击摄像头进行预览
- 4. 垃圾回收- 4.3垃圾收集器
- python合并两个有序列表_合并两个有序链表(Python3)
- 巧做辅助线计算三角形角的度数
- java utf-8 gbk_Java 字符转码之UTF-8转为GBK/GB2312
- vscode输入vue自动_使用vscode,新建.vue文件,tab自动生成vue代码模板
- [MongoDB] MongoDB的基本操作以及文档的增删改查
- 运筹作业题:一个正三角形平面,在三个角的部分减去一部分,然后沿着剪开部分折叠起来,使折叠后的三棱台体积最大
- 全球科研城市榜出炉:前二十强中国城市占6席,北京居首
- sqlplus登录指定服务器,sqlplus 指定数据库
- 游戲外挂,其實是一種網絡藝術
- 深度体验特斯拉新Model S:游戏体验翻车,方向盘让人又爱又恨
- PCB各层含义简介 浅显易懂 图文展示
- 《魔兽世界插件》教程—21点扑克游戏 Blackjack
- verilog验证平台技巧(避免竞争的办法)
- cocos2d-js html5自定义鼠标图案及设置原点方法
- Android 移动安全知识技术全解(加固技术、常规漏洞、Android 逆向......),移动安全问题不容忽视
- MFC ODBC 学生成绩管理系统 示例