Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Błąd w przeglądarce Brave – twój dostawca internetu mógł widzieć, jakie strony .onion odwiedzasz
Brave to darmowa przeglądarka oparta na silniku Chromium, stawiająca przede wszystkim na bezpieczeństwo i ochronę prywatności użytkowników internetu. Posiada funkcje automatycznego blokowania reklam i skryptów śledzących. Ciekawą rzeczą w Brave jest “Brave Rewards”, dzięki któremu w zamian za oglądanie reklam, możemy otrzymywać kryptowalutę BAT.
Funkcja “Private window with Tor”
Funkcja ta działa na zasadzie trybu “incognito”, z tą różnicą, że używa Tor’a jako “proxy”, dzięki czemu w dość szybki i wygodny sposób możesz przeglądać witryny .onion. Tryb ten powinien zapewniać ci także względną “anonimowość”.
* Zdjęcie podglądowe tego, jak wygląda funkcja “Private window with Tor”
Jeden z użytkowników Brave odkrył jednak fatalny błąd – w trakcie łączenia się z ukrytymi stronami .onion, wysyłane było również standardowe zapytanie DNS do serwera DNS z twojego adresu IP. Oznacza to, że twój dostawca internetu lub DNS mógł wiedzieć, jakie ukryte strony odwiedzasz. Jest to dość istotny błąd, zwłaszcza w przeglądarce, która kojarzona jest przede wszystkim z prywatnością.
* Błąd potwierdza także osoba z portswigger
Ekipa odpowiedzialna za Brave zareagowała dość szybko, i już pracuje nad łatką
Podsumowanie
Choć postawę Brave w kwestii dbania o prywatność użytkownika można chwalić, to funkcja “Private window with Tor” nie będzie w stanie zapewnić ci poziomu bezpieczeństwa takiego jaki oferuje “zwykły Tor”.
~ Jakub Bielaszewski
Jak już przy tym jesteśmy, to w obecnym stable Brave zapytania DNS „ciekną” nie tylko w przypadku korzystania z Tora. A i tu sam błąd nie dotyczył tylko domen .onion – każda domena wpisywana w private window with Tor trafiała do systemowego resolvera.
A czemu nie tylko? Ano dlatego, że po włączeniu DoH w Brave stable, zapytania DNS zapytania trafiają do systemowego resolvera.
Oba błędy poprawione w nigtly.
A czy w wersji mobilnej ta super przegladarka nadal przedstawia sie marka, modelem i wersja androida?
Z kwesti semantyki – 'Brave to darmowa przeglądarka oparta na silniku Chromium’, powinno być 'Brave to darmowa przeglądarka oparta na silniku Blink, używanym między innymi w chromium’, ew stwierdzenie że Brave jest forkiem Chromium.
btw
>2k21
>używanie brave nieironicznie
czyli to jest bubel