Исследователь утверждает, что встроенный в Opera VPN - просто прокси

В конце прошлой недели разработчики браузера Opera рассказали, что отныне их продукт будет оснащаться не только встроенным блокировщиком рекламы, но также встроенным VPN. Пока все радовались этому известию, польский исследователь Михал Шпачек (Michal Špacek) внимательно изучил исходные коды и уверяет, что на самом деле, новая опция, это вовсе не VPN.

 

 

Внимание польского PHP разработчика привлекла строка в окне настроек Opera. На странице конфигурации VPN написано: «Защищенный прокси предоставлен компанией SurfEasy Inc.» (Secure proxy provided by SurfEasy Inc.). Использование слова «прокси» в данном контексте насторожило Шпачека, и он решил разобраться, как именно функционирует новый VPN Opera, пишет xakep.ru.

Подробный итог своих изысканий Шпачек опубликовал на GitHub, ознакомиться с ним может любой желающий. Исследователь пишет:

«Этот “VPN” Opera, по сути, просто переконфигурированный HTTP/S прокси, который защищает только трафик между Opera и прокси, не более того. Это не VPN. В настройках они сами называют эту функцию “защищенным прокси” (а также именуют ее VPN, конечно)».

Шпачек полагает, что такая подмена понятий может создать у пользователей ощущение ложной безопасности, тогда как на самом деле браузер защитит только HTTP и HTTPS трафик, а для использования других протоколов всё же стоит озаботиться настоящим VPN.

Разработчики браузера подтверждают правоту исследователя. Команда Opera пишет в официальном блоге:

«Мы называем наш VPN “браузерным VPN”. Под капотом у этого решения – защищенные прокси, работающие в разных уголках мира, через которые проходит весь трафик браузера, в зашифрованном должным образом виде. [Наше решение] не работает с трафиком других приложений, как системные VPN, но, в конце концов, это лишь браузерный VPN».

Также стоит сказать, что Шпачек, а также другие разработчики и исследователи уже заметили, что Opera раскрывает реальный IP-адрес пользователя, даже если тот включил функцию VPN. Дело в известной проблеме с WebRTC, которая затрагивает и другие браузеры. Фактически, чтобы обезопасить себя, нужно отключить WebRTC. В Opera, к примеру, это можно осуществить при помощи аддона WebRTC Leak Prevent, впрочем пользователи официальных форумов сообщают, что даже эта мера помогает не до конца. Аддон скрывает локальный IP-адрес, оставляя публичный видимым.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google лишит Chrome уникальной функции безопасности XSS Auditor

Разработчики Google собираются лишить Chrome одной из функций безопасности, известной под именем XSS Auditor. Специалисты считают, что XSS Auditor не оправдала ожиданий и не справляется со своими обязанностями.

Функцию XSS Auditor добавили в далеком 2010 году с релизом Chrome v4. Как можно понять из имени, эта опция ищет в исходном коде страниц ресурсов паттерны, которые могут указывать на XSS-атаку.

Если известный браузеру XSS-паттерн найден, Chorme может удалить вредоносный код или заблокировать сайт целиком. Если ресурс блокируется полностью, обозреватель выводит пользователю сообщение «страница не работает».

На протяжении многих лет XSS Auditor была уникальной функцией для браузера Chrome, помогая ему качественно выделяться на фоне других подобных программ. Уже позже в других интернет-обозревателях эти возможности реализовали с помощью расширений.

Основная причина, по которой разработчики решили отказаться от XSS Auditor, заключается в большом количестве уязвимостей, позволяющих вредоносным сайтам обойти эту защитную функцию.

Еще один немаловажный мотив — ложные срабатывания, которые, так или иначе, преследуют XSS Auditor. В этом случае пользователь просто не может зайти на вполне безобидный и легитимный сайт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru