Настраиваем Brave от утечек через WebRTC

[CyberSec RuTOR]

Браузер Brave — это готовый набор технических решений из коробки, требует донастройки для достижения приватности.
WebRTC — это готовый набор встроенных решений для передачи данных в браузере: API и протоколы.

Принцип работы:

Вы входите на сайт → JavaScript направляет команду new RTCPeerConnection() к API-WebRTC → инициировано выделение объекта в памяти браузера → внутри объекта запущен ICE-агент → отправлен системный вызов к OS + отправлен UPD-пакет к STUN-серверам → получены данные о внутренних и внешних IP → появление события onicecandidate → реакция JavaScript → передача данных из браузера на сервер сайта.

Почему это работает:
Этап:

внутри объекта запущен ICE-агент → отправлен системный вызов к OS + отправлен UPD-пакет к STUN-серверам

1. OS не блокирует системный запрос к сетевым библиотекам.
2. Proxy шифрует трафик на уровне соединений HTTP/HTTP. WebRTC отправляет запросы по UPD.
3. VPN шифрует трафик на уровне устройства. Запросы от WebRTC шифрует и выходит к STUN-серверам с IP VPN. Если VPN шифрует трафик по IPv4, то запрос по IPv6 выдаст настоящий ip.

Решение:

Settings → Privacy and security

→ WebRTC IP handling policy

Default: разрешено ICE-агенту направлять запросы → полная утечка есть.
Default public and private interfaces: разрешено ICE-агенту направлять запросы только по нынешнему интернет-соединению → утечка ключевых данных есть.
Default public interface only: разрешено ICE-агенту направлять STUN-запросы, запросы к системе фильтруются → утечка половины ключевых данных есть.
Disable non-proxied UDP: запрет на отправку запросов в обход proxy и VPN → утечки нет.

Четвёртый вариант позволяет WebRTC получить только IP VPN или proxy.

Схема изменена:

[...]→ внутри объекта запущен ICE-агент → проверка политики «Disable non-proxied UDP» → блок/направление от сервера → [...]

Выполнили? Проверьте. browserleaks.com. Не должно быть ваших IP.

 

[xxx4chhh]

спасибо, полезно