लीक मामला अध्ययन 2: WebRTC लीक

आपके सार्वजनिक आईपी पते वेब पर किसी व्यक्ति की पहचान का हिस्सा बनते हैं, जिससे साइटों, ऐप्स और तीसरे पक्ष को वेब पर अपनी गतिविधि को ट्रैक करने और उस विशिष्ट व्यक्ति के साथ जुड़ने में मदद मिलती है। एक वीपीएन के साथ, साइटें अपनी पहचान को सुरक्षित रखते हुए उपयोगकर्ता के बजाय वीपीएन सर्वर के सार्वजनिक आईपी पते को देखती हैं.


हालांकि, WebRTC कई बार वेबसाइटों को उपयोगकर्ता के सार्वजनिक आईपी पते को देखने में सक्षम कर सकता है, जो गोपनीयता-समझौता लीक का प्रतिनिधित्व करता है। हमारी गोपनीयता अनुसंधान लैब के इस मामले के अध्ययन का वर्णन है कि WebRTC लीक कैसे होते हैं, और एक्सप्रेसवीपीएन लीक परीक्षण उपकरण का उपयोग करके उनके लिए परीक्षण कैसे किया जाता है.

वेबआरटीसी अवलोकन

WebRTC एक खुली प्रौद्योगिकियों का एक सेट है जो वेब पृष्ठों को वेब ब्राउज़र के माध्यम से सहकर्मी से सहकर्मी (P2P) संचार प्रदान करने की अनुमति देता है। अधिकांश आधुनिक ब्राउज़र अब WebRTC मानक का पूरा समर्थन करते हैं.

WebRTC, अन्य बातों के अलावा, वेब ब्राउज़र को उपयोगकर्ता के सार्वजनिक आईपी पते और उनके स्थानीय आईपी पते दोनों का पता लगाने की क्षमता देता है। यह क्षमता केवल अतिरिक्त ऐप या प्लगइन्स के बिना, वेब ब्राउज़र का उपयोग करके पी 2 पी संचार को सुविधाजनक बनाने के लिए महत्वपूर्ण है.

WebRTC लीक

WebRTC लीक IP लीक का एक रूप है। डिवाइस के आईपी पते के लिए ब्राउज़र से पूछने के लिए वेबपेज जावास्क्रिप्ट वेबआरटीसी एपीआई का उपयोग कर सकते हैं। एक बार जब वे इन आईपी पते को इकट्ठा कर लेते हैं, तो वे उन्हें अपने सर्वर पर भेज सकते हैं और उन्हें पहचानने के लिए उपयोग कर सकते हैं कि कौन किसी विशेष वेब पेज या सेवा पर पहुंच रहा है.

अधिकांश वीपीएन एप्लिकेशन वेबआरटीसी के माध्यम से लीक होने वाले आईपीवी 4 पतों के खिलाफ प्रभावी ढंग से रक्षा करते हैं, हालांकि कई वीपीएन अनुप्रयोग उसी तरह से लीक होने वाले आईपीवी 6 पतों को नजरअंदाज करते हैं।.

WebRTC IP पते का पता कैसे लगाता है?

किसी उपकरण के IP पते: STUN / TURN सर्वर और होस्ट कैंडिडेट डिस्कवरी निर्धारित करने के लिए WebRTC दो मुख्य तकनीकों का उपयोग करता है.

STUN / TURN सर्वर आईपी पते की जांच करके पता लगाते हैं कि उनका उपयोग करने के लिए सार्वजनिक आईपी पते का उपयोग क्या किया जाता है आमतौर पर ये वीपीएन आईपी लीक का कारण नहीं होते हैं.

होस्ट कैंडिडेट डिस्कवरी अधिक समस्याग्रस्त है जब यह WebRTC लीक की बात आती है। यह कार्यक्षमता ब्राउज़र को आपके सिस्टम और नेटवर्क इंटरफेस का सीधे निरीक्षण करने और यह देखने की अनुमति देती है कि आईपी पते उनके साथ क्या जुड़े हैं.

एक डिवाइस पर सभी सक्रिय नेटवर्क इंटरफेस को कार्य करने के लिए आईपी पते की आवश्यकता होती है। उदाहरण के लिए, एक सक्रिय वाई-फाई कनेक्शन के लिए एक डिवाइस पर एक संगत नेटवर्क इंटरफ़ेस होगा। इस इंटरफ़ेस में बदले में एक IP पता होगा.

WebRTC इन IP पते को प्रकट कर सकता है, जो आमतौर पर डिवाइस के लिए, वेबपृष्ठों को बाहरी रूप से नहीं देखा जा सकता है.

IPv6 लीक समस्याग्रस्त क्यों हैं?

IPv4 पते कम आपूर्ति में हैं – वहाँ बस चारों ओर जाने के लिए पर्याप्त नहीं है! आमतौर पर, आईपीवी 4 पते लोगों के बीच साझा किए जाते हैं। ऐसा करने के लिए, नेटवर्क एड्रेस ट्रांसलेशन (NAT) नामक प्रणाली का उपयोग किया जाता है। यह प्रणाली आम तौर पर आईएसपी के माध्यम से एक आम सार्वजनिक आईपी पते को साझा करते समय डिवाइसों को “स्थानीय आईपीवी 4” पते को अपने नेटवर्क इंटरफेस पर असाइन करने की अनुमति देती है। ये स्थानीय आईपी पते दुनिया भर के लाखों कंप्यूटरों द्वारा विश्व स्तर पर उपयोग किए जाते हैं और एक विशिष्ट व्यक्ति के साथ सीधे जुड़े हुए हैं.

IPv6 के साथ समस्या यह है कि पते कम आपूर्ति में नहीं हैं। यहां एक है बहुत उनमें से! इसका मतलब यह है कि प्रत्येक व्यक्ति को आमतौर पर एक अद्वितीय IPv6 पते दिए जाते हैं। जब ऐसा IPv6 पता किसी नेटवर्क इंटरफ़ेस को सौंपा जाता है, तो इसका अर्थ है कि WebRTC एक IP पता खोज सकता है, जो पहचानता है कि आप कौन हैं, भले ही वह IP पता सामान्य रूप से बाहरी दुनिया को दिखाई न दे।.

किस प्रकार के लीक हैं?

अलग-अलग गंभीरता के दो प्रकार के WebRTC लीक हैं। कौन सा उपयोगकर्ता इस बात पर निर्भर हो सकता है कि वे किसी वेब पेज से संबंधित WebRTC से संबंधित अनुमति देते हैं या नहीं। दोनों ही मामलों में, एक अच्छे वीपीएन को लीक से बचाना चाहिए.

ध्यान दें कि ब्राउज़र निर्माता वेबआरटीसी को लागू करने के लिए विभिन्न तरीकों का उपयोग कर सकते हैं, इसलिए एक ब्राउज़र को लीक करना संभव है और दूसरे को एक ही डिवाइस सेटअप और वीपीएन प्रदाता के साथ भी नहीं।.

लगातार लीक (कोई अनुमति आवश्यक नहीं)

डिफ़ॉल्ट रूप से, वेबपृष्ठों को WebRTC अनुमतियां नहीं दी जाती हैं। हालाँकि, अभी भी पेजों के लिए WebRTC API का उपयोग करके किसी उपयोगकर्ता के IP पते तक पहुँच संभव है। इन स्थितियों में, वेबसाइटें आसानी से अपने ज्ञान के बिना अपने आईपी पते के माध्यम से उपयोगकर्ता को ट्रैक कर सकती हैं.

ट्रिगर लीक (अनुमति आवश्यक)

वेबपेज स्पष्ट रूप से WebRTC- संबंधित कार्यक्षमता का उपयोग करने के लिए अनुमति का अनुरोध कर सकते हैं। इन अनुमतियों को वास्तव में वर्गीकृत किया गया है माइक्रोफ़ोन तथा कैमरा अनुमतियाँ। इसका कारण यह है कि वेबआरटीसी पी 2 पी संचार जैसे वॉयस कॉल या वीडियोकांफ्रेंसिंग की दिशा में सक्षम तकनीक है.

जब इनमें से कोई भी अनुमति दी जाती है, तो वेबपेज को डिवाइस पर आईपी पते की एक विस्तृत श्रृंखला तक पहुंच मिलती है, जिससे रिसाव संभव हो जाता है। कुछ ब्राउज़रों में वे अनुमतियाँ पूरे सत्र में बनी रहती हैं, यानी यदि किसी उपयोगकर्ता ने वेबपेज को एक बार अनुमति दे दी है, तो वेबपृष्ठ उन अनुमतियों को बरकरार रखता है जब उपयोगकर्ता भविष्य में पृष्ठ पर वापस आता है।.

ध्यान दें कि अलग-अलग वेबपेजों को अलग से अनुमति दी जानी चाहिए, इसलिए एक साइट के लिए अनुमति देना दूसरे के लिए अनुमतियाँ प्रदान नहीं करता है.

हालांकि ये लीक ऊपर के लगातार लीक से कम गंभीर हैं, क्योंकि इन्हें उपयोगकर्ता द्वारा अनुमत अनुमति देने की सक्रिय आवश्यकता होती है, फिर भी हम उन्हें चिंता का विषय मानते हैं। WebRTC लोकप्रियता में बढ़ रहा है और उपयोगकर्ता आने वाले वर्षों में प्रौद्योगिकी का उपयोग करके अधिक से अधिक साइटों को देखने की उम्मीद कर सकते हैं। यदि कोई उपयोगकर्ता किसी साइट को अनुमति देता है, तो वीपीएन आईपी पते को छिपाता नहीं है, तो उन्हें केवल दो विकल्पों के साथ छोड़ दिया जाता है:

  • किसी भी WebRTC सक्षम साइटों और सेवाओं का उपयोग न करें
  • अपने आईपी पते को उजागर करने से जुड़े सुरक्षा और गोपनीयता जोखिमों को स्वीकार करें

लीक के लिए परीक्षण

ये परीक्षण किसी भी डेस्कटॉप कंप्यूटर पर किए जा सकते हैं। रिसाव परीक्षण करते समय हम अनुशंसा करते हैं कि आपके पास IPv6 आपके परीक्षण उपकरण पर उपलब्ध है, क्योंकि यह सबसे संभावित स्थिति है जिसमें वीपीएन प्रदाता रिसाव करते हैं.

मैनुअल परीक्षण

आप हमारे ऑनलाइन WebRTC रिसाव परीक्षण का उपयोग करके मैन्युअल रूप से लीक के लिए परीक्षण कर सकते हैं.

रेप्रो स्टेप्स

  • सुनिश्चित करें कि लीक टेस्ट पेज है बन्द है
  • सुनिश्चित करें कि आपका वीपीएन एप्लिकेशन है डिस्कनेक्ट किया गया
  • WebRTC लीक टेस्ट पेज पर जाएं
  • सभी को नोट कर लें जनता IP पता आपको परीक्षण आउटपुट में दिखाई देता है
    • उन्हें उनके साथ प्रदर्शित किया जाएगा स्थिति “संभावित लीक” के रूप में
  • लीक टेस्ट पेज को बंद करें
  • अपने वीपीएन से कनेक्ट करें
  • WebRTC रिसाव परीक्षण पृष्ठ को फिर से खोलें
  • यदि आप आईपी पते में से कोई भी देखते हैं जो आपने अभी ऊपर नोट किया है, तो आपके पास एक रिसाव है

ध्यान दें कि हम स्पष्ट रूप से आपको ब्राउज़र कैशिंग समस्याओं से बचने के लिए लीक टेस्ट पेज को बंद करने के लिए कहते हैं। कई ब्राउज़र वेबआरटीसी के माध्यम से आईपी का पता लगाते हैं, इस प्रकार वेबपेज को फिर से लोड करना परीक्षण चलाने का एक विश्वसनीय तरीका नहीं है.

ध्यान दें कि यह परीक्षण पृष्ठ केवल लीक के सबसे गंभीर वर्ग के लिए परीक्षण करता है, अर्थात् “पर्सिस्टेंट लीक्स” ऊपर चर्चा की गई है। परीक्षण करने के लिए कि क्या आप अपने ब्राउज़र को अनुमति दिए जाने पर लीक करते हैं, हम आपको नीचे दिए गए लीक परीक्षण उपकरणों का उपयोग करने का सुझाव देते हैं.

ExpressVPN रिसाव परीक्षण उपकरण का उपयोग कर परीक्षण

एक्सप्रेसवीपीएन लीक टेस्टिंग टूल ओपन-सोर्स पायथन टूल्स का एक एक्स्टेंसिबल सूट है जो वीपीएन अनुप्रयोगों के मैनुअल और स्वचालित रिसाव परीक्षण दोनों के लिए डिज़ाइन किया गया है। कृपया टूल को डाउनलोड करने और सेट करने के निर्देशों के लिए टूल से हमारा परिचय देखें.

एक बार उपकरण सेट करने के बाद, सुनिश्चित करें कि आप उपकरण रूट निर्देशिका में हैं और निष्पादित करें:

./run_tests.sh -c config / case_studies / webrtc_leaks.py

यह कमांड कई ब्राउज़रों में दो टेस्ट केस चलाएगा। दोनों परीक्षण मामले मोटे तौर पर ऊपर वर्णित मैनुअल चरणों का स्वचालन हैं और निम्नलिखित कार्य करते हैं:

  • सुनिश्चित करें कि परीक्षण के तहत वीपीएन एप्लिकेशन डिस्कनेक्ट हो गया है
  • डिवाइस के सार्वजनिक IPv4 और IPv6 पते निर्धारित करें
  • VPN एप्लिकेशन कनेक्ट करें
  • WebRTC IP को इकट्ठा करने के लिए एक सरलीकृत रिसाव परीक्षण वेबपेज का उपयोग करें
  • कनेक्ट करने से पहले वेबआरटीसी के माध्यम से दिखाई देने वाले किसी भी सार्वजनिक आईपी को देखें

एक परीक्षण लगातार लीक के लिए परीक्षण करेगा जब कोई ब्राउज़र अनुमति नहीं दी जाती है, तो अन्य परीक्षण अनुमतियों के दौरान लीक के लिए परीक्षण करेंगे कर रहे हैं स्वीकृत.

नोट: आप उन ब्राउज़रों को समायोजित कर सकते हैं जिनका उपयोग बदलकर किया जाता है ब्राउज़रों में सूची webrtc_leaks.py फ़ाइल.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map