Auteur Sujet: Faille RTCPeerConnection  (Lu 29691 fois)

0 Membres et 1 Invité sur ce sujet

corrector

  • Invité
Faille RTCPeerConnection, suite
« Réponse #84 le: 30 mai 2015 à 01:55:43 »
[Continuation d'une discussion d'un topic bloqué]

https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/msg199021/#msg199021

Citer
On pense tous que le protocole IP est la base d'Internet mais on oublie qu'en l'état actuel, des qu'on sort du LAN on n'a plus vraiment de lien 100% IP entre 2 machines. On se retrouve avec un 'truc tordu' qui ne laisse passer que UDP et TCP ()
Pardon, la Freebox gère aussi SCTP. ;)

corrector

  • Invité
Faille RTCPeerConnection, suite
« Réponse #85 le: 30 mai 2015 à 02:04:12 »
https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/msg199086/#msg199086

Citer
A partir du moment ou j’accède a Internet je ne veux pas cacher mon IP. Que ce soit celle de ma box ou de mon PC, personnellement je m'en tape ainsi que 99% des utilisateurs d'ailleurs.
C'est peut être le cas de 99,999 %, mais les 0,001 avaient un contrat en bonne et due forme : en indiquant l'utilisation d'un proxy HTTP ou TCP SOCKS, les connexions sortantes passaient toutes par ce proxy.

Mais là tout d'un coup, des paquets UDP ne passent pas par le proxy.

C'est une violation du contrat.

La violation du contrat est une faille de sécurité.

CAPISH?

corrector

  • Invité
Faille RTCPeerConnection, suite
« Réponse #86 le: 30 mai 2015 à 02:31:55 »
https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/msg199476/#msg199476

Citation de: kgersen
T'as définition du 'monde entier' est curieuse. On doit pas vivre dans le même monde.
Même les gros médias/blogs geeks habitués du clickbait n'ont pas relevé l'info, y'a guerre que les sites 'fumeux' qui traitent de torrents et autres trucs du genre qui en on parler et pour cause...

T'as des liens un peu sérieux qui 'hurlent a la faille' ?

Je ne connais aucun site sérieux qui traite d'informatique, déjà. Tu as des liens sérieux, toi, sur quoi que ce soit?

Mais j'ai ça :

https://korben.info/proteger-faille-webrtc.html

Citer
Êtes vous bien planqué ou pas derrière votre proxy, votre VPN ou votre réseau Tor / Freenet / i2P ?

Difficile à dire surtout depuis que Daniel Roesler a découvert une faiblesse dans le protocole WebRTC qui permet grâce à un peu d'astuce et de JavaScript, de récupérer l'adresse IP locale et publique de l'internaute.

http://www.programmez.com/actualites/une-faille-de-webrtc-devoile-les-adresses-ip-que-vous-pensiez-masquer-en-utilisant-un-vpn-22106

Citer
Cette faille est décrite sur le blog de torguard.net, une société qui propose des services de VPN justement. Les VPN, pour Virtual Private NetVork sont souvent utilisés comme passerelle vers Internet, par ceux qui désirent masquer leur adresse IP et conserver un certain anonymat.

Dans ce cas, lorsqu'ils surfent, c'est l'adresse IP du proxy utilisé qui est visible sur Internet, non celle de leurs machines propres. Un serveur de site, par exemple, ne peut donc pas connaître l'IP réelle.

Ceci quand tout va bien... :-)

Seulement voilà, une faille dans le protocole WebRTC, implèmenté par les navigateurs Firefox et Chrome, permet de révéler l'IP réelle d'un internaute utilisant un VPN. Des requêtes émises via ce protocole vers des serveurs STUN retournent à la fois l'IP locale et l'P publique, et ces données sont lisibles avec JavaScript. Un internaute peut donc être attaqué par un simple bout de code JavaScript présent dans une page visitée.       

Il y a aussi eu nulérama, on va pas leur faire la pub.

corrector

  • Invité
Faille RTCPeerConnection, suite
« Réponse #87 le: 30 mai 2015 à 02:37:28 »
https://lafibre.info/techno-du-web/la-faille-est-une-feature-webkitrtcpeerconnection/msg199495/#msg199495

Citation de: Snickerss
"Le monde entier hurle au danger du nucléaire"
==> corrector demande des sources (ou le monde entier est con, ça dépend des humeurs)

"Le monde entier hurle à la faille"
==> bon on le croit sur parole  ;D
Je ne doute pas une seconde que des gens aient très peur du nuc, et je n'ai jamais demandé une source pour prouver qu'il y a des opposants au nuc; j'ai juste dit que ces gens se trompent.

Sur la faille, il n'y a pas à se tromper ou pas. Par définition, la faille est la trahison de la confiance.

Pour le nuc aussi les gens croient que la confiance a été trahie par la promesse du risque zéro, mais cette promesse n'a jamais existée sauf dans la tête des gens qui entendent des voix, ce qui est une grande partie de la population. Mais le critère objectif est "personne n'est ou ne sera malade" et donc je me moque de ce que les gens pensent.

Dans le premier cas, il y a une mesure objective du danger. Dans le second cas, ce n'est pas clair, il n'y a pas de contrat écrit sur ce qu'un navigateur peut faire ou non.

Tout cela tendrait à montrer que les navigateurs sont plus dangereux que les centrales nucléaires.

corrector

  • Invité
La faille est une "feature" : webkitRTCPeerConnection
« Réponse #88 le: 25 octobre 2016 à 04:11:53 »
On pense tous que le protocole IP est la base d'Internet mais on oublie qu'en l'état actuel, des qu'on sort du LAN on n'a plus vraiment de lien 100% IP entre 2 machines. On se retrouve avec un 'truc tordu' qui ne laisse passer que UDP et TCP et avec des restrictions assez fortes (port ouvert, adresse partagée, etc). On est tellement confronter a cela que pour beaucoup de gens ca devient la 'norme' et l'IP 'normale' du début d'Internet devient l'exception...un comble !
Oui c'est ce que je dis depuis toujours. Mais ça n'a aucun rapport avec le sujet.

Franchement et je rejoint le dev de Chrome qui parlais de ca: vivement qu'IPv6 prenne la relève qu'on se débarrasse de cet ersatz d'IP actuel qui complique toute innovation, promeut un modèle centralisé et donne un faux sentiment de sécurité (au point que des gens s'affolent qu'on communique leur IP locale sans leur dire).

Si ce 'bug/faille/whatever' de WebRTC peut être une pierre de plus pour promouvoir IPv6, j’espère qu'ils ne le corrigeront jamais ;D
Non, ça n'a aucun rapport.

Le 2eme comble dans cette histoire est que WebRTC permet un fonctionnement non centralisé des navigateurs: un lien peer to peer directe entre eux. Un truc qui devrait combler les paranos et les anti-NSA/Google/QueSaisJeEncore mais c'est pourtant eux qui se plaignent le plus de ce 'bug/faille/whatever' .... :P
Un comportement non centralisée ne nécessite pas de communiquer au monde entier ton IP privée.