2021年推特网黄Top10排行榜

长安乱

100部BL动漫大放送(上篇)

夜读丨一个曾经绝密28年的名字!

汤加火山剧烈喷发,导致这个国家“失联”

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

填写问券帮助你更迅速地找到相关搜寻

VPN 扩展程序居然会泄露用户 DNS 数据

2018-04-04 大壮旅 宅客频道


宅客频道消息,4月4日,据外媒报道,对谷歌 Chrome 浏览器来说,丰富的扩展程序是它在浏览器市场出人头地的一大法宝。不过,最近却有人发现一些 VPN 扩展程序可能会导致用户的 DNS 查询泄露,而这一切的罪魁祸首其实就是名为 DNS 预读取的功能。

在用户点击一个链接前,Chrome 会发出 DNS 请求,这时 DNS 预读取功能就会开启。

举例来说,当用户的鼠标悬停在某个连接上,Chrome 就会为某个域名发出 DNS 请求,同时它还会运行 DNS 查询(负责填充 Chrome 地址栏下拉填充)。

很明显,DNS 预读功能的目的就是省掉一部分页面加载时间,即使只有几毫秒。为了让网上冲浪体验更好,在 Chrome 浏览器中 DNS 预读取是个标准配置。


3/2的 Chrome VPN 扩展程序都会泄露 DNS“预读取”查询

一般情况下,VPN 客户都会使用自定的 DNS 设置来隐藏用户的 DNS 查询。不过,TheBestVPN.com 的 John Mason 表示,一些 Chrome VPN 扩展程序并没能隐藏 DNS 预读系统下的 DNS 查询。

这个问题的根源是 VPN 扩展程序如何将 DNS 查询从 Chrome 泄露给了 VPN 客户,这其中肯定有某些配置出了问题。

“问题在于当进入 pac 脚本模式时,DNS 预读取会一直处于工作状态。鉴于 HTTPS 代理并不支持代理 DNS 查询且 Chrome 不支持 SOCKS 协议下的 DNS,因此所有预读取的 DNS 查询都要通过系统 DNS。从本质上来看,这已经可以算得上 DNS 泄露了。”Mason 从技术的角度描述了这一问题。

Marson 完成的最新调查发现,15 个流行的 Chrome VPN 扩展程序中,至少有 10 个都会泄露用户的潜在浏览模式,这一切都是拜 DNS 预读取查询所赐。以下的 Chrome 扩展就存在这样的问题:

Hola VPN

OperaVPN

TunnelBear

HotSpot Shield

Betternet

PureVPN

VPN Unlimited

ZenMate VPN

Ivacy VPN

DotVPN

不过也有没掉坑里的,WindScribe、NordVPN、CyberGhost、Private Internet Access 和 Avira Phantom VPN 都没有受到谷歌预读取机制的影响。


怎么测试扩展程序是否“中招”?

宅客频道了解到,Mason 已经公布了一个简单的方案,用户只要按步骤走一遍,就能知道自己用的 VPN 扩展程序是否存在 DNS 查询泄露的问题了。

1. 激活你使用的 VPN Chrome 插件;

2. 转到 chrome://net-internals/#dns;

3. 点击“清除主机缓存”(Clear host cache);

4. 将鼠标悬停在链接上方或使用 Chrome 地址来次搜索;

5. 查看是否有新的域名出现在 DNS 主机表中。


如何减轻影响

Mason 明确表示,问题就出在浏览器的扩展程序上。

“它们本应通过自己的网络发送所有的网络流量,包括 DNS 加密流量,但很多开发者偷懒了。”Mason 说动。“如果用户直接使用系统级的 VPN 应用,就不会出现这种问题。”

因此,想避免 DNS 查询数据的泄露,请直接使用 VPN 客户端应用,别把鸡蛋都放在 Chrome VPN 扩展程序这个篮子里。

此外,用户可以直接关掉 Chrome 里的 DNS 预读取功能。

当然,如果你本来就不用 VPN,完全没必要观点这个功能,毕竟谁都想要个快一点的网络浏览体验。

关闭 DNS 预读取功能的步骤如下:

Chrome→设置→高级→隐私设置和安全性→关掉以下两个选项:

⬥  使用联想查询服务,帮助你在地址栏中自动填充未输完的搜索字词和网址

⬥  使用联想查询服务更快速的加载网页

“VPN 扩展程序确实不应该泄露用户的 DNS 数据,这和泄露 IP 地址是一个性质的。希望开发者能尽快对这一问题进行修复。”Mason 说道。

宅客频道Via. Bleeping Computer

雷锋网宅客频道招人了!


招聘岗位:

网络安全编辑(采编岗)



工作内容:

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等;采访国内外网络安全研究人员,撰写原创报道,输出领域的深度观点;针对不同发布渠道,策划不同类型选题;参与打理宅客频道微信公众号等。

岗位要求:

对网络安全有兴趣,有相关知识储备或从业经历更佳;

科技媒体1-2年从业经验;

有独立采编和撰写原创报道的能力;

加分项:网感好,擅长新媒体写作、90后、英语好、自带段子手属性……


你将获得的是:

与国内外网络安全领域顶尖安全大牛聊人生的机会;

国内出差可能不新鲜了,我们还可以硅谷轮岗、国外出差(+顺便玩耍);

你将体验各种前沿黑科技,掌握一手行业新闻、大小公司动向,甚至是黑客大大们的独家秘闻;

老司机编辑手把手带;

以及与你的能力相匹配的薪水。

坐标北京,简历投递至:liqin@leiphone.com



蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 女鉴黄师 | 以图搜图

心脏滴血 撞库攻击 | 潜行追踪

刷票 | 人肉 | 勒索 | 内鬼

超级欺骗系统


真相篇

战斗民族野生聊天 App

草榴社区这类色情网站为什么封不掉

什么样的漏洞买得起北京二环一套房?

上了个“假”黄网,误入了7亿黑产的大门

13岁小黑客自学一年挖到了微软、谷歌的漏洞

中学教材现黄色网站 人教社回应遭网友质疑

干货!top白帽子 Gr36_ 手把手教你挖漏洞

我们可以用“免疫系统”对抗黑客入侵吗?

这位叔叔要教勒索软件一些做人的道理

有个网站叫“我知道你下载了什么”

无线电攻击居然还能用来打飞机

“道哥”透露从业初心


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

把老婆训练成女黑客的漏洞大神黄正

“真爱”黑客 Fooying 手把手教你追妹子


更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


文章有问题?点此查看未经处理的缓存