Opera (alle Versionen): Anonymisierung durch Proxys kann ausgehebelt werden! |
||
---|---|---|
#0
| ||
26.10.2008, 22:56
Member
Beiträge: 546 |
||
|
||
27.10.2008, 08:30
Moderator
Beiträge: 6466 |
||
|
||
27.10.2008, 12:03
Member
Themenstarter Beiträge: 546 |
#3
Er hat es definitiv nicht Opera gemeldet. Meine Frage an ihn, ob Opera Kenntnisse von dieser Lücke hat,
beantwortete er mit "keine Ahnung". Besagter Kollege ist jedoch ebenfalls nicht der Entdecker der Lücke. Er fand Mitte Oktober ein englischsprachiges Posting in einem Netzwerk außerhalb des WWW, welches aber nicht mehr zugänglich ist. Gruß, Sepia Edit: Ich habe Opera gerade informiert. Dieser Beitrag wurde am 27.10.2008 um 12:50 Uhr von Sepia editiert.
|
|
|
||
28.10.2008, 12:21
Member
Themenstarter Beiträge: 546 |
#4
Opera meldete sich heute per Email bei mir.
1. Der Bug wird bestätigt Zitat This is indeed a bug. It has obvious privacy implications, and also raises some security concerns. We are looking into it. Zitat We indeed can confirm that a (zensiert / Beschreibung des Fehlers) is treated as a local server and that this can subvert the proxy setting.2. Ein Bugfix ist geplant Zitat Currently this (Anm. Release des Bugfix) would be in four to six weeks' time.3. Opera bat mich, Details über die Lücke nicht zu publizieren Zitat We would very much appreciate if you could withhold publication of your finding until we will have a fix available.Bis dahin folgende Tipps: 1. Bei Nutzung des Opera Browser über einen Proxy sollte zwingend bei den gleichnamigen Einstellungen ein Haken bei "Proxy für lokale Server benutzen" gesetzt werden! 2. Opera in Verbindung mit "Freecap" und einem Socks 4/4a/5 Proxy ist nicht betroffen, da der gesamte Traffic von Opera immer über den Socks Proxy geschleift wird (wg. Freecap). Fairerweise sollten Boardies, die das ursprüngliche Posting mitsamt seiner detailierten Beschreibung gelesen hatten bis auf weiteres davon Abstand nehmen, die Informationen über den Bug ebenso detailiert im Web weiterzuverbreiten. Gruß, Sepia Dieser Beitrag wurde am 28.10.2008 um 12:40 Uhr von Sepia editiert.
|
|
|
||
28.10.2008, 13:59
Moderator
Beiträge: 2312 |
#5
Ich bin zumindest schwer beeindruckt, dass die sich so schnell gemeldet haben.
__________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
28.10.2008, 14:16
Member
Themenstarter Beiträge: 546 |
#6
Zitat Ich bin zumindest schwer beeindruckt, dass die sich so schnell gemeldet haben.Full ACK. Nicht nur, dass sie sich so schnell gemeldet haben, die Emails (es waren 2) beinhalteten neben der eigentlichen Bestätigung des Fehlers auch eine genauere Analyse, warum besagter Bug auftritt. Opera hat also nicht nur oberflächlich und allgemein geantwortet sondern vorab bereits tiefergehende Tests gefahren. Gruß, Sepia |
|
|
||
17.12.2008, 10:30
Moderator
Beiträge: 2312 |
#7
Ist der Fehler in der aktuellen 9.63 eigentlich behoben?
Ich habe nichts dergleichen im changelog finden können.. Da ich die Fehlerbeschreibung allerdings nicht mehr habe kann ich es auch nicht testen.. __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
17.12.2008, 12:29
Member
Themenstarter Beiträge: 546 |
#8
Zitat Ist der Fehler in der aktuellen 9.63 eigentlich behoben?Nein, der Bug ist in v9.63 noch vorhanden. Gruß, Sepia |
|
|
||
27.06.2009, 22:27
Member
Themenstarter Beiträge: 546 |
#9
Derzeitige Situation:
Die aktuelle v10.0 Beta (Build 1551) ist gefixt. Ob der Bugfix erst mit diesem Build oder bereits bei etwas älteren Betas/Alphas implementiert wurde, weiß ich nicht. In den Changelogs rumsuchen habe ich kein Nerv. Die ersten, frühen v10.0 Alphas waren jedoch noch anfällig, ebenso wie die v9.64. Ob vor der Einführung einer finalen v10 noch ein Update der 9er Serie geplant ist, welche in Bezug auf diesen Bug gefixt wurde, entzieht sich ebenfalls meiner Kenntnis. Gruß, Sepia |
|
|
||
29.06.2009, 08:09
Moderator
Beiträge: 2312 |
#10
Vielen Dank, dass du das weiterverfolgt hast
Zitat Sepia posteteNaja, die haben das ja zeitnah hinbekommen Aber immerhin... __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
04.09.2009, 13:59
Member
Themenstarter Beiträge: 546 |
#11
Der aktuelle Opera 10.00 ist erwartungsgemäß gefixt. Ein Update auf diese Version ist anzuraten!
Ich schrieb: Zitat Ob vor der Einführung einer finalen v10 noch ein Update der 9er Serie geplant ist, welche in Bezug auf diesen Bug Nachdem am 01.09. die finale v10 freigegeben wurde, wird es logischerweise kein Update für die 9er-Reihe (oder ältere) mehr geben. Da der Fehler nun behoben ist, hier ein Ausschnitt aus der von mir seinerzeit auf Bitte von Opera-Software entfernten Fehlerbeschreibung: Unter bestimmten Umständen kann die durch die Nutzung von (HTTP) Proxyservern erlangte Anonymität beim Opera Browser hinfällig werden! Durch das simple Besuchen einer Webseite, welche diese "Sicherheitslücke" ausnutzt, wird der in der Browserkonfiguration eingetragene Proxy umgangen und stattdessen die Kommunikation mit der Gegenseite über die eigene reale WAN-IP abgewickelt! Dabei spielt es keine Rolle, ob in der Browserkonfiguration ein einzelner, externer Proxy oder ein lokaler Proxy (JAP, TOR etc.) eingetragen ist! Möglich wird dieses Szenario durch die Nutzung von eingebetteten "obfuscated IPs" [1] im Webseitencode der besuchten Seite. Das Problem im Detail: Normalerweise werden Webseiten mittels Eingabe eines gültigen FQDN oder der "üblichen" IP-Adresse angesurft. Diese Eingaben laufen über den o.g. zwischengeschalteten Proxy und werden demnach anonymisiert. Wird jedoch eine andere gültige Variante einer IP-Adresse verwendet, z.B. die dezimale Form, wird der in der Opera Konfiguration eingetragene Proxy übergangen! Beispiele (Ziel: www.google.com): Durch Eingabe von http://www.google.com im Opera wird Google mittels Proxy aufgerufen Die Eingabe von http://72.14.207.99 (übliche IP-Adresse) läuft ebenfalls über den Proxy zu Google. Die Eingabe von http://1208930147 jedoch verwendet eine Direktverbindung ohne den eingestellten Proxy zu tangieren! (Anm.: 1208930147 ist die dezimale Version der IP 72.14.207.99) Würde eine Webseite innerhalb ihres Codes für den User unsichtbare/eingebettete Links benutzen, welche den URL nicht mit der "normalen" Syntax aufrufen, sondern per obfuscated IPs, wäre die Anonymität hinfällig! Dies könnte bspw. durch einfaches Anzeigen/Nachladen irgendwelcher Bilder innerhalb der Webseite geschehen. Eigener Test (Win XP / Opera 9.61 / Proxomitron / JAP) : Proxomitron lokal lauschend auf Port 8080 JAP lokal lauschend auf Port 8000 Opera wurde in der Proxykonfiguration dahingehend eingestellt, dass sämtliche HTTP-Verbindungen zum ersten lokalen Proxy (Proxomitron) geschickt werden (127.0.0.1:8080). Proxomitron wiederum leitet sie weiter zum JAP Clienten (127.0.0.1:8000), der wiederum zum Ziel. Ergebnis: Die Eingabe von http://1208930147 wurde nicht über JAP geleitet, stattdessen wurde eine Direkt- verbindung zu Google.com etabliert! Gruß, Sepia |
|
|
||
04.09.2009, 15:00
Moderator
Beiträge: 2312 |
#12
Vielen Dank für die Info.
Die haben dann ja doch recht lange dafür gebraucht... __________ Woher soll ich wissen was ich denke, bevor ich höre was ich sage?? Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+! |
|
|
||
Danke für das Verständnis!
Sepia