Brave-nettleseren har oppdaget en DNS-lekkasje av data om løksider som åpnes i privat nettlesingsmodus, der trafikken blir omdirigert gjennom Tor-nettverket. Rettelsene som løser problemet har allerede blitt akseptert i Brave-kodebasen og vil snart være en del av den neste stabile oppdateringen.
Årsaken til lekkasjen var en annonseblokkering, som ble foreslått deaktivert ved arbeid gjennom Tor. Nylig, for å omgå annonseblokkere, har annonsenettverk brukt lasting av annonseenheter ved å bruke nettstedets opprinnelige underdomene, som det opprettes en CNAME-post for på DNS-serveren som betjener nettstedet, og peker til verten for annonsenettverket. På denne måten blir annonsekoden formelt lastet fra det samme primærdomenet som nettstedet og er derfor ikke blokkert. For å oppdage slike manipulasjoner og bestemme verten som er tilknyttet via CNAME, utfører annonseblokkere ytterligere navneoppløsning i DNS.
I Brave gikk vanlige DNS-forespørsler ved åpning av et nettsted i privat modus gjennom Tor-nettverket, men annonseblokkeren utførte CNAME-oppløsning gjennom hoved-DNS-serveren, noe som førte til informasjonslekkasje om løkesider som ble åpnet til ISP-ens DNS-server. Det er bemerkelsesverdig at Braves Tor-baserte private nettlesermodus ikke er posisjonert for å garantere anonymitet, og brukere advares i dokumentasjonen om at den ikke erstatter Tor Browser, men bare bruker Tor som proxy.
Kilde: opennet.ru