Kompleksowe szkolenie: wprowadzenie do bezpieczeństwa IT od sekuraka z rabatem 50%. Jedyna taka okazja w tym roku. Nie przegap! :-)

Błąd w przeglądarce Brave – twój dostawca internetu mógł widzieć, jakie strony .onion odwiedzasz

20 lutego 2021, 11:20 | W biegu | komentarze 4

Brave to darmowa przeglądarka oparta na silniku Chromium, stawiająca przede wszystkim na bezpieczeństwo i ochronę prywatności użytkowników internetu. Posiada funkcje automatycznego blokowania reklam i skryptów śledzących. Ciekawą rzeczą w Brave jest “Brave Rewards”, dzięki któremu w zamian za oglądanie reklam, możemy otrzymywać kryptowalutę BAT.

Funkcja “Private window with Tor” 

Funkcja ta działa na zasadzie trybu “incognito”, z tą różnicą, że używa Tor’a jako “proxy”, dzięki czemu w dość szybki i wygodny sposób możesz przeglądać witryny .onion. Tryb ten powinien zapewniać ci także względną “anonimowość”. 

* Zdjęcie podglądowe tego, jak wygląda funkcja “Private window with Tor”

Jeden z użytkowników Brave odkrył jednak fatalny błąd – w trakcie łączenia się z ukrytymi stronami .onion, wysyłane było również standardowe zapytanie DNS do serwera DNS z twojego adresu IP. Oznacza to, że twój dostawca internetu lub DNS mógł wiedzieć, jakie ukryte strony odwiedzasz. Jest to dość istotny błąd, zwłaszcza w przeglądarce, która kojarzona jest przede wszystkim z prywatnością.

* Błąd potwierdza także osoba z portswigger

Ekipa odpowiedzialna za Brave zareagowała dość szybko, i już pracuje nad łatką

Podsumowanie

Choć postawę Brave w kwestii dbania o prywatność użytkownika można chwalić, to funkcja “Private window with Tor” nie będzie w stanie zapewnić ci poziomu bezpieczeństwa takiego jaki oferuje “zwykły Tor”.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jak już przy tym jesteśmy, to w obecnym stable Brave zapytania DNS „ciekną” nie tylko w przypadku korzystania z Tora. A i tu sam błąd nie dotyczył tylko domen .onion – każda domena wpisywana w private window with Tor trafiała do systemowego resolvera.

    A czemu nie tylko? Ano dlatego, że po włączeniu DoH w Brave stable, zapytania DNS zapytania trafiają do systemowego resolvera.

    Oba błędy poprawione w nigtly.

    Odpowiedz
  2. Name

    A czy w wersji mobilnej ta super przegladarka nadal przedstawia sie marka, modelem i wersja androida?

    Odpowiedz
  3. wolololo

    Z kwesti semantyki – 'Brave to darmowa przeglądarka oparta na silniku Chromium’, powinno być 'Brave to darmowa przeglądarka oparta na silniku Blink, używanym między innymi w chromium’, ew stwierdzenie że Brave jest forkiem Chromium.

    btw
    >2k21
    >używanie brave nieironicznie

    Odpowiedz
  4. jazz

    czyli to jest bubel

    Odpowiedz

Odpowiedz na Name