Opera (alle Versionen): Anonymisierung durch Proxys kann ausgehebelt werden!

#0
26.10.2008, 22:56
Member

Beiträge: 546
#1 Posting auf Bitte von Opera temporär entfernt. Siehe unten.

Danke für das Verständnis!

Sepia
Dieser Beitrag wurde am 28.10.2008 um 12:12 Uhr von Sepia editiert.
Seitenanfang Seitenende
27.10.2008, 08:30
Moderator
Avatar joschi

Beiträge: 6466
#2 Konnte das alles bis ins Detail nachstellen.
Hast Du oder dein Freund das mal an Opera gemeldet ?
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
27.10.2008, 12:03
Member
Themenstarter

Beiträge: 546
#3 Er hat es definitiv nicht Opera gemeldet. Meine Frage an ihn, ob Opera Kenntnisse von dieser Lücke hat,
beantwortete er mit "keine Ahnung".
Besagter Kollege ist jedoch ebenfalls nicht der Entdecker der Lücke. Er fand Mitte Oktober ein englischsprachiges
Posting in einem Netzwerk außerhalb des WWW, welches aber nicht mehr zugänglich ist.


Gruß,

Sepia

Edit: Ich habe Opera gerade informiert.
Dieser Beitrag wurde am 27.10.2008 um 12:50 Uhr von Sepia editiert.
Seitenanfang Seitenende
28.10.2008, 12:21
Member
Themenstarter

Beiträge: 546
#4 Opera meldete sich heute per Email bei mir.

1. Der Bug wird bestätigt

Zitat

This is indeed a bug. It has obvious privacy implications, and also raises some security concerns. We are looking into it.

Zitat

We indeed can confirm that a (zensiert / Beschreibung des Fehlers) is treated as a local server and that this can subvert the proxy setting.
2. Ein Bugfix ist geplant

Zitat

Currently this (Anm. Release des Bugfix) would be in four to six weeks' time.
3. Opera bat mich, Details über die Lücke nicht zu publizieren

Zitat

We would very much appreciate if you could withhold publication of your finding until we will have a fix available.
Bis dahin folgende Tipps:

1. Bei Nutzung des Opera Browser über einen Proxy sollte zwingend bei den gleichnamigen Einstellungen ein Haken
bei "Proxy für lokale Server benutzen" gesetzt werden!

2. Opera in Verbindung mit "Freecap" und einem Socks 4/4a/5 Proxy ist nicht betroffen, da der gesamte Traffic
von Opera immer über den Socks Proxy geschleift wird (wg. Freecap).

Fairerweise sollten Boardies, die das ursprüngliche Posting mitsamt seiner detailierten Beschreibung gelesen hatten
bis auf weiteres davon Abstand nehmen, die Informationen über den Bug ebenso detailiert im Web weiterzuverbreiten.

Gruß,

Sepia
Dieser Beitrag wurde am 28.10.2008 um 12:40 Uhr von Sepia editiert.
Seitenanfang Seitenende
28.10.2008, 13:59
Moderator
Avatar hevtig

Beiträge: 2312
#5 Ich bin zumindest schwer beeindruckt, dass die sich so schnell gemeldet haben.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
28.10.2008, 14:16
Member
Themenstarter

Beiträge: 546
#6

Zitat

Ich bin zumindest schwer beeindruckt, dass die sich so schnell gemeldet haben.
Full ACK. Nicht nur, dass sie sich so schnell gemeldet haben, die Emails (es waren 2) beinhalteten neben der
eigentlichen Bestätigung des Fehlers auch eine genauere Analyse, warum besagter Bug auftritt. Opera
hat also nicht nur oberflächlich und allgemein geantwortet sondern vorab bereits tiefergehende Tests gefahren.

Gruß,

Sepia
Seitenanfang Seitenende
17.12.2008, 10:30
Moderator
Avatar hevtig

Beiträge: 2312
#7 Ist der Fehler in der aktuellen 9.63 eigentlich behoben?
Ich habe nichts dergleichen im changelog finden können..
Da ich die Fehlerbeschreibung allerdings nicht mehr habe kann ich es auch nicht testen..
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
17.12.2008, 12:29
Member
Themenstarter

Beiträge: 546
#8

Zitat

Ist der Fehler in der aktuellen 9.63 eigentlich behoben?
Nein, der Bug ist in v9.63 noch vorhanden.

Gruß,

Sepia
Seitenanfang Seitenende
27.06.2009, 22:27
Member
Themenstarter

Beiträge: 546
#9 Derzeitige Situation:

Die aktuelle v10.0 Beta (Build 1551) ist gefixt. Ob der Bugfix erst mit diesem Build oder bereits bei etwas
älteren Betas/Alphas implementiert wurde, weiß ich nicht. In den Changelogs rumsuchen habe ich kein Nerv.

Die ersten, frühen v10.0 Alphas waren jedoch noch anfällig, ebenso wie die v9.64.

Ob vor der Einführung einer finalen v10 noch ein Update der 9er Serie geplant ist, welche in Bezug auf diesen Bug
gefixt wurde, entzieht sich ebenfalls meiner Kenntnis.

Gruß,

Sepia
Seitenanfang Seitenende
29.06.2009, 08:09
Moderator
Avatar hevtig

Beiträge: 2312
#10 Vielen Dank, dass du das weiterverfolgt hast ;)

Zitat

Sepia postete

Zitat

Currently this (Anm. Release des Bugfix) would be in four to six weeks' time.
Naja, die haben das ja zeitnah hinbekommen ;)
Aber immerhin...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
04.09.2009, 13:59
Member
Themenstarter

Beiträge: 546
#11 Der aktuelle Opera 10.00 ist erwartungsgemäß gefixt. Ein Update auf diese Version ist anzuraten!

Ich schrieb:

Zitat

Ob vor der Einführung einer finalen v10 noch ein Update der 9er Serie geplant ist, welche in Bezug auf diesen Bug
gefixt wurde, entzieht sich ebenfalls meiner Kenntnis.

Nachdem am 01.09. die finale v10 freigegeben wurde, wird es logischerweise kein Update für die 9er-Reihe (oder ältere)
mehr geben.

Da der Fehler nun behoben ist, hier ein Ausschnitt aus der von mir seinerzeit auf Bitte von Opera-Software
entfernten Fehlerbeschreibung:

Unter bestimmten Umständen kann die durch die Nutzung von (HTTP) Proxyservern erlangte Anonymität
beim Opera Browser hinfällig werden! Durch das simple Besuchen einer Webseite, welche diese "Sicherheitslücke"
ausnutzt, wird der in der Browserkonfiguration eingetragene Proxy umgangen und stattdessen die Kommunikation mit
der Gegenseite über die eigene reale WAN-IP abgewickelt!
Dabei spielt es keine Rolle, ob in der Browserkonfiguration ein einzelner, externer Proxy oder ein lokaler Proxy
(JAP, TOR etc.) eingetragen ist!

Möglich wird dieses Szenario durch die Nutzung von eingebetteten "obfuscated IPs" [1] im Webseitencode
der besuchten Seite.

Das Problem im Detail:
Normalerweise werden Webseiten mittels Eingabe eines gültigen FQDN oder der "üblichen" IP-Adresse angesurft.
Diese Eingaben laufen über den o.g. zwischengeschalteten Proxy und werden demnach anonymisiert.
Wird jedoch eine andere gültige Variante einer IP-Adresse verwendet, z.B. die dezimale Form, wird der in der Opera
Konfiguration eingetragene Proxy übergangen!

Beispiele (Ziel: www.google.com):
Durch Eingabe von

http://www.google.com im Opera wird Google mittels Proxy aufgerufen

Die Eingabe von
http://72.14.207.99 (übliche IP-Adresse) läuft ebenfalls über den Proxy zu Google.

Die Eingabe von
http://1208930147 jedoch verwendet eine Direktverbindung ohne den eingestellten Proxy zu tangieren!

(Anm.: 1208930147 ist die dezimale Version der IP 72.14.207.99)

Würde eine Webseite innerhalb ihres Codes für den User unsichtbare/eingebettete Links benutzen, welche den URL
nicht mit der "normalen" Syntax aufrufen, sondern per obfuscated IPs, wäre die Anonymität hinfällig! Dies könnte
bspw. durch einfaches Anzeigen/Nachladen irgendwelcher Bilder innerhalb der Webseite geschehen.

Eigener Test (Win XP / Opera 9.61 / Proxomitron / JAP) :
Proxomitron lokal lauschend auf Port 8080
JAP lokal lauschend auf Port 8000

Opera wurde in der Proxykonfiguration dahingehend eingestellt, dass sämtliche HTTP-Verbindungen zum ersten
lokalen Proxy (Proxomitron) geschickt werden (127.0.0.1:8080). Proxomitron wiederum leitet sie weiter zum JAP
Clienten (127.0.0.1:8000), der wiederum zum Ziel.

Ergebnis:
Die Eingabe von http://1208930147 wurde nicht über JAP geleitet, stattdessen wurde eine Direkt-
verbindung zu Google.com etabliert!



Gruß,

Sepia
Seitenanfang Seitenende
04.09.2009, 15:00
Moderator
Avatar hevtig

Beiträge: 2312
#12 Vielen Dank für die Info.

Die haben dann ja doch recht lange dafür gebraucht...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: