Auteur Sujet: Faille RTCPeerConnection (Lu 29941 fois)

vivien · « **Réponse #72 le:** 09 février 2015 à 13:11:25 »

Maintenant, c'est moi qui bloque le sujet définitivement, après les propos vulgaires de Corrector ("Petite bite" "Suicide toi connard" ...)

corrector · « **Réponse #73 le:** 06 mai 2015 à 04:04:33 »

Plusieurs releases plus tard, la faille de sécurité est toujours présente, les dévs se foutent ouvertement du monde, rien n'est prévu.

Moi j'ai une solution fiable : supprimer toutes les occurrences de RTC dans les fichiers binaires. Méchant mais efficace.

thenico · « **Réponse #74 le:** 06 mai 2015 à 12:43:03 »

Tu peut aussi compiler Firefox avec --disable-webrtc (ou utiliser le build fournis par le projet Tor).

corrector · « **Réponse #75 le:** 06 mai 2015 à 12:51:30 »

Marche pas pour Google Chrome

kgersen · « **Réponse #76 le:** 06 mai 2015 à 14:58:08 »

Depuis Chrome 42, la ~~faille~~ feature peut-être désactivée manuellement en éditant les préférences de Chrome:

1. aller sur chrome://version
2. noter le chemin d’accès au profil: "Profile Path" (sur windows, par défault c'est C:\Users\<login>\AppData\Local\Google\Chrome\User Data\Default)
3. quitter completement Chrome , y compris le processus en tache de fond (icone dans la barre des taches). Par sureté, verifier avec le gestionnaire de taches qu'aucun processus 'chrome' ne tourne (important car le fichier de config n'est lu qu'une fois au démarrage de Chrome).
4. Avec un éditeur de texte, ouvrir le fichier "Preferences" situé dans le répertoire du profile (repéré a l'étape 2). Par sûreté en faire une copie éventuellement.
5. ajouter dans ce fichier texte, a la fin, juste avant le dernier "}":

Code: [Sélectionner]

   ,
   "webrtc": {
      "multiple_routes_enabled": false
   }

(la virgule est à mettre apres l'avant dernier } donc.
6. sauvegarder et relancer Chrome
7. lancer/connecter votre VPN s'il n'est pas déja en service
8. aller sur http://ipleak.net pour vérifier que vos IP ne sont plus visibles

oui c'est plus "compliqué" qu'un simple flag a changer par exemple mais c'est a dessein.

corrector · « **Réponse #77 le:** 06 mai 2015 à 16:27:44 »

C'est exprès que les utilisateurs sont vulnérables.

Noté Google, tu n'hésites pas à balancer les utilisateurs sous le bus.

kgersen · « **Réponse #78 le:** 06 mai 2015 à 16:36:57 »

Citation de: corrector le 06 mai 2015 à 16:27:44

C'est exprès que les utilisateurs sont vulnérables.

Noté Google, tu n'hésites pas à balancer les utilisateurs sous le bus.

quels utilisateurs sont vulnérables?

Uniquement ceux qui utilisent des mauvaises solutions de VPN ...(ou configuration de celui ci)

C'est pas que la faute de Chrome si l'IP public du VPN fuit ... avec un bon systeme VPN ca ne fuit pas.

Donc c'est a Chrome/WebRTC de corriger les défaillances d'une solution du niveau d'en dessous (couche réseau) ?

Les "amateurs" ont ce qu'ils méritent.

corrector · « **Réponse #79 le:** 06 mai 2015 à 16:45:32 »

Tous sont qui font confiance à Google pour le pas les balancer sous le bus.

corrector · « **Réponse #80 le:** 30 mai 2015 à 01:18:20 »

Citation de: kgersen le 06 mai 2015 à 16:36:57

Donc c'est a Chrome/WebRTC de corriger les défaillances d'une solution du niveau d'en dessous (couche réseau) ?

Tu considères un certain comportement comme normal.

Nous considérons ce comportement comme anormal.

Je pense que nous sommes la majorité. La majorité a raison.

corrector · « **Réponse #81 le:** 30 mai 2015 à 01:29:42 »

[Continuation d'une discussion d'un topic bloqué]

https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/

Citation de: Marin

Entre Image.src, XMLHttpRequest, les WebSockets, voire même les frames et les formulaires HTML basiques, il existe déjà dans les faits un bon nombre de manières d'envoyer du trafic vers le réseau local de l'utilisateur

Ben oui; mais si cela existe depuis Netscape 3, alors les utilisateurs sont censés savoir que ça existe.

Avec IMG tu fais tous les HTTP GET que tu veux, avec FORM tu fais tous les HTTP POST que tu veux, avec du JS tu en fais 13 à la douzaine.

Je considérerais AUSSI cela comme une faille si ces fonctions débarquaient tout d'un coup dans une MàJ d'un logiciel qui ne permettait RIEN de cela!!!!

Mais tout le monde doit savoir qu'un navigateur est un petit logiciel espion qui fait des connexions TCP vers n'importe quelle IP plus ou moins privée de votre réseau.

Citer

honnêtement, entre les trois tonnes de façons de tracer un utilisateur avec du JavaScript (sessionStorage/localStorage/globalStorage/document.cookie..., le rendu <canvas>...), un plugin quelconque (Flash : les LSO, les divers moyens de communication réseau souvent peu maîtrisés..., également toutes les CVE et fonctionnalités peu maîtrisées de Java, Silverlight...), les en-têtes HTTP (les cookies, l'User-Agent, l'E-Tag...), la manipulation du cache navigateur

...sont des variations sur le principe du simple témoin HTTP.

corrector · « **Réponse #82 le:** 30 mai 2015 à 01:34:12 »

https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/msg198739/#msg198739

Citer

Your network IP is:
10.0.0.13

Make the locals proud.

Et maintenant, il se passe quoi ?
Quel est le risque ?
Que peut-on faire avec cette donnée unique et donc précieuse ?

Dans ce cas précis, pas grand chose. Mais j'espère que tu comprends que tu ne peux pas dire qu'une faille n'est pas une faille parce que dans un cas précis elle ne cause pas de souci.

Dans certains cas, j'ai deux adresses IP privées, sur deux sous-réseaux différents. Cette situation est beaucoup beaucoup plus rare donc pourrait servir à m'identifier.

Dans certains cas, le PC a une adresse routable sur Internet. C'est cette adresse routable sur Internet qui est révélée.

corrector · « **Réponse #83 le:** 30 mai 2015 à 01:51:29 »

[Continuation d'une discussion d'un topic bloqué]

https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/msg199021/#msg199021

Citation de: kgersen

Le 2eme comble dans cette histoire est que WebRTC permet un fonctionnement non centralisé des navigateurs: un lien peer to peer directe entre eux. Un truc qui devrait combler les paranos et les anti-NSA/Google/QueSaisJeEncore mais c'est pourtant eux qui se plaignent le plus de ce 'bug/faille/whatever' ....

NON, le Web n'est PAS "non centralisé", JAMAIS.

Le Web dépend du DNS. Le DNS est centré, centralisé, hiérarchisé... et décentralisé au sens de la décentralisation française, qui procède de l'Etat jacobin qui attribue des compétences de façon discrétionnaire.

Tout domaine peut être saisi par une autorité, volé par un pirate, tout site Web peut être "défacé", etc.

Il suffit souvent d'un outil comme "analytics" ou un "widget" sur une page pour que quiconque contrôle le domaine de cet élèment contrôle la page et puisse intercepter les communications, voler les identifiants, etc. Je pensais qu'un expert comme toi savait tout cela.

C'est pour ça qu'il faut des clients lourds, c'est à dire des logiciels installés sur des millions de machines, sans MàJ automatiques; ces clients lourds pourraient être des choses très légères, comme des plugin ou applications de navigateur (à condition que le navigateur ne soit pas trop dans le cloud...).

Auteur Sujet: Faille RTCPeerConnection (Lu 29941 fois)

vivien

La faille est une "feature" : webkitRTCPeerConnection

corrector

Faille RTCPeerConnection, suite

thenico

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite

kgersen

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite

kgersen

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite

corrector

Faille RTCPeerConnection, suite