パスワードを忘れた? アカウント作成
15213679 story
インターネット

BraveのTorモード、.onion URLに対して通常のDNSクエリを実行するバグ 9

ストーリー by headless
通常 部門より
BraveのTorモードに、ローカルマシンで設定されたDNSサーバーへ.onion URLのDNSクエリを送信してしまうバグが発見された(Bleeping Computerの記事HackReadの記事The Daily Swigの記事RAMBLEの記事)。

BraveのTorモードはハンバーガーメニューから「Torで新しいプライベートウィンドウを開く」を選択すれば利用できる。Torモードではプライバシー向上のため、非Torのインターネットデバイスに情報を一切送るべきではないが、このバグによりアクセスしたTorサイトの情報がDNSサーバー/DoHサーバーに送られてしまう。

このバグはCNAMEクローキングブロック機能に存在し、この機能をTorモードで無効化して問題に対応する。バグ自体は1月に報告されており、修正は現在ベータ版のBrave 1.21.xで提供する計画だったが、Redditでバグが公開されたことから20日リリースのV1.20.108で修正されている。
  • Braveユーザだが、どういう信条でTorをサポートしてるのか知らんけど
    アングラなイメージがつくと先鋭化するばかりで広く使われるものにはなりにくいんじゃないだろうか。
    シェア拡大は諦めてるのか。
    ここでも全然コメント盛り上がらないのもわかるわ。

    ここに返信
    • Braveの設計思想はインターネットの分散化とプライバシー重視なので
      アクセス先サイトにも自分の使っているプロバイダにすらも情報を一切渡さない(Torを使っているということを除いて)究極のプライバシーを実現しているTorや
      中央集権的なサーバを使わずP2P通信によってファイルのやり取りをするBitTorrentをサポートするのは自然だと思うのですが
      アングラとは言えどもね

      気になったんですがこれを知らずにBrave選ぶ人って何が良いと思ったんですかね?

      • なるほどね。ありがとう。Braveのサイトのトップに載ってる説明くらい読んでから書くべきでしたね。

        これを知らずにBrave選ぶ

        プライバシー保護を謳ってるのは流石に知ってるしTorrentのサポートは理解できるんだが、Torは個人的にはプライバシーが守られる技術、というより
        悪事がバレない技術というネガティブな印象のほうが強いんじゃないかというね。
        速度の問題で常にTor経由というのも土台無理があるし。

        使い始めは単に新しいものへの興味とブレンダンアイクのネームバリューですね。
        ユーザといっても恒常的に使ってるわけじゃなくVivaldiだのも含めて定期的に起動して新しい機能試すみたいな使い方です。

        • by Anonymous Coward on 2021年02月23日 21時41分 (#3983090)

          速度の問題で常にTor経由というのも土台無理があるし

          昔と違って早い回線が増えたので
          これも古い情報かと

          /*
          torrcで監視国のTLDとともにSlowServerをExclude***に指定しておけばいい
          流石に数百Mbpsは出ませんが動画見るくらいの速度は支障ないかと
          */

        • by Anonymous Coward

          ブラウザーがいろいろと情報出すために、TorProxyがセットになってるけど、
          同一のネットワークにまま、起動するのが多い。

          Tor関係は、Torネットワークを経由しないバグが多いから
          本来ならTorProxyを経由しなければ、ネットにアクセスできない構成にしないといけないのに
          わざとブラウザに機能を追加してTorでどこにアクセスしているのか確認できるようにしているのかと思えてしまう。

      • by Anonymous Coward

        ちなみに.onionの特別扱いはTor Browserからupstreamへの反映でFirefoxにも含まれている(Tor自体をサポートしているわけではないが)。

      • by Anonymous Coward

        BitTorrentはピュアP2Pじゃないでしょう
        ハイブリッドP2Pで中央集権的サーバは必要

        • by Anonymous Coward

          > ハイブリッドP2Pで中央集権的サーバは必要

          DHTなら中央サーバは不要です。

  • by Anonymous Coward on 2021年02月23日 19時39分 (#3983050)

    Tor BrowserとBraveのTorモードはフィンガープリント的に見分けがつきそうですが(FirefoxベースとChromiumベースなので)、どうなんでしょう?

    ここに返信
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...