在本周的一个在线发布的研究中,一位匿名安全研究人员声称他们发现 Brave 的 Tor 模式正在将对 .onion 域的查询发送到公共 Internet DNS 解析器而不是 Tor 节点,这将暴露用户访问的 onion URL。
Brave 是基于 Chromium 的浏览器,以重视隐私著称,并于 2018 年 6 月添加用于匿名浏览 Web 的内置 Tor 浏览器模式。位于 Tor 上的网站使用 onion URL 地址,因此用户只能通过 Tor 网络访问。例如,DuckDuckGo 的 Tor 地址为 https://3g2upl4pq6kufc4m.onion/,纽约时报的地址为 https://www.nytimes3xbfgragh.onion/。
在使用 Brave 的 Tor 模式时,它本应将所有请求转发到 Tor 代理,并且不向任何非 Tor 网络设备发送任何信息。但是,Brave 的 “Private window with Tor” 模式会导致用户访问的任何 Tor onion URL 也被作为标准 DNS 查询发送到计算机的已配置 DNS 服务器。该问题是由 Brave 的 CNAME 伪装广告阻止功能引起的,该功能用于阻止使用 CNAME DNS 记录模仿第一方脚本的第三方跟踪脚本。
该问题发现之初还受到争议,但随后另外几位著名的安全研究人员也再现了该问题,包括 PortSwigger Web Security 研究总监 James Kettle 和 CERT/CC 团队的漏洞分析师 Will Dormann。
目前该问题已经修复。在问题暴露后,Brave Browser 开发人员 Yan Zhu 表示该问题实际上已在两周以前的 Nightly 版本中修复,并计划于下个稳定版中推出。之后不久,Brave 浏览器就发布了 1.20.108 版本更新。
本文转自OSCHINA
本文标题:Brave 浏览器的隐私漏洞会暴露用户访问的 onion URL
本文地址:https://www.oschina.net/news/130452/brave-tor-onion-url-leak
在写这篇文章的时候,我曾经想过无数个答案,有项目方、投资者、机构、政府等等...
随着企业逐渐转向云优先策略,保护云端数据变得越来越重要。下面让我们看看5个云...
联网汽车和驱动它们的技术一直在继续发展,这为提高汽车效率和安全性带来了大量...
当你在电脑网页上浏览信息时,轻轻点击鼠标,发送一个访问请求,这时你的信息就...
荷兰比特币(BTC)交易所Bitonic已经向鹿特丹法院申请了一项初步禁令,试图暂停该...
美国能源部(DOE)网络安全、能源安全和应急响应办公室(CESER)宣布了三个新研究计...
一、 引言 我们可以把这个疑问的背景描述得更具体一点:作为数字黄金,比特币是...
微软终于出手,封掉了Windows 10上的一个零日漏洞,要知道这个漏洞之前被朝鲜黑...
迈克菲计算机安全软件公司的创始人被控参与拉高出货骗局,在推特上哄抬加密货币...
区块链是按照时间顺序将数据区块以顺序相连方式组合成的链式数据结构,并以密码...