Brave-webbrowseren har opdaget et DNS-læk af data om løgwebsteder, der åbnes i privat browsing-tilstand, hvor trafikken omdirigeres gennem Tor-netværket. Rettelserne, der løser problemet, er allerede blevet accepteret i Brave-kodebasen og vil snart være en del af den næste stabile opdatering.
Årsagen til lækagen var en annonceblokering, som blev foreslået deaktiveret ved arbejde via Tor. For at omgå annonceblokkere har annoncenetværk for nylig brugt indlæsning af annonceenheder ved hjælp af webstedets oprindelige underdomæne, for hvilket der oprettes en CNAME-record på DNS-serveren, der betjener webstedet, og peger på værten for annoncenetværket. På denne måde indlæses annoncekoden formelt fra det samme primære domæne som webstedet og er derfor ikke blokeret. For at opdage sådanne manipulationer og bestemme den vært, der er tilknyttet via CNAME, udfører annonceblokkere yderligere navneopløsning i DNS.
I Brave gik normale DNS-anmodninger ved åbning af et websted i privat tilstand gennem Tor-netværket, men annonceblokkeren udførte CNAME-opløsning gennem hoved-DNS-serveren, hvilket førte til informationslækage om onion-sites, der blev åbnet til internetudbyderens DNS-server. Det er bemærkelsesværdigt, at Braves Tor-baserede private browsing-tilstand ikke er positioneret til at garantere anonymitet, og brugere advares i dokumentationen om, at den ikke erstatter Tor Browser, men kun bruger Tor som proxy.
Kilde: opennet.ru