И 10 лет не прошло. NAT Pinning возвращается.

Пробежался на гитхабе.

Кажется, эта дырочка совсем не нова. Просто она заиграла новыми красками.

Итак. В исходном коде хтмл можно прописать:

<script src="ресурс-с-любым-адресом-и-портом"></script>

Вобщем. Чтобы минимизировать потенциальную дыру, надо блокировать загрузку нежелательных скриптов. Как?

1) Отрубить жаваскрипт вообще.

2) Адблок, ублок и иже с ними.

3) Юзерскрипт, который пробежится по DOM дереву сразу, а затем всегда будет отслеживать попытки вставки в DOM новых скриптов, и попытки фоновых коннектов и запросов по аяксам, фетчам и прочим вебсокетам, и проверять, с доверенного ли ресурса эта гадость загружается и на доверенный ли ресурс ломится. Но в этом варианте я немного сомневаюсь, т.к. не знаю, дак ещё и забыл, а есть ли возможность отловить изменение DOM дерева ДО его фактического изменения, а также проверять стоящие на очереди активности запросов куда они ломятся.

Что ещё?

IMHO без ALG оно не работает.

Видимо нужно ждать, когда в ct-helper-ах ужесточат проверки.

IMHO из 13 хелперов только 2 (SIP-udp и SIP-tcp) сейчас хоть как-то востребованы.

Что ещё?

Можно не использовать ALG. У меня вот рабочий нат максимально параноидален и никакого alg там и в помине нету. Как и сабжевой дырки.

Т.е. в твоём рабочем нате при открытии сотрудником какого-то внешнего ресурса, когда запрос-ответ прошли через этот нат, на этом ресурсе не работают яндекс и гугл счётчики, а также виджеты вконтаке, фейсбука и прочих? А ещё наверное и шрифты отвалились и всякие жквери, и вообще всё, что сайт подсасывает не с оригинального своего домена, да?

Эм, ты о чём вообще? Почитай внимательно про атаку.

Нужно просто полагаться на настроенные фаерволы, а не на сломанную сетевую связность из-за NAT. NAT is bad.

Что ещё?

Свалить с веба с улюлюканьем и только внуков потом пугать этим «стеком технологий», прости господи.

Так а если жертва за провайдерским NAT’ом сидит (то есть за двойным натом - провайдер->роутер->компуктер), то бояться, я так понимаю, нечего, даже если на одном из натов работает этот самый ALG и всяческие SIP’ы ?

This. NAT is not a firewall, но в следующей теме об этом, конечно же, забудут. Надо схоронить, что ли.

Так а если жертва за провайдерским NAT’ом сидит (то есть за двойным натом - провайдер->роутер->компуктер) то бояться, я так понимаю, нечего

ясен красен. Уязвимость опубликовали только в 2020, жертва из 2005ого может спать спокойно --sarcasm.

Дык, это ведь обычная конфигурация сейчас у 99% пользователей - провайдерский нат (который знать ничего не знает ни о каких SIP’ах) и простой домашний роутер (на котором дофига других уязвимостей - на фоне которой эта покажется ерундой). Сейчас так даже организации подключаются. Да и вообще классический SIP тоже постепенно вытесняется обычными централизованными WEB-based решениями…

Что ещё?

Касперский, который за скриптами будет следить.

А что, если сделали из браузера по сути недовиртуальную машину с операционной системой, то и приходится пожинать плоды.

То есть это по сути можно использовать по примеру технологии UDP Hole punch. но уже для TCP ?

2. Адблок, ублок и иже с ними.

3. Юзерскрипт, который пробежится по DOM дереву сразу, а затем всегда будет отслеживать попытки …

Что ещё?

NoScript. Фильтрация скриптов по белому списку серверов.

Фильтрация скриптов по белому списку серверов

Вот да.

NoScript

Ну это же из серии адблоков. Или он вообще ломает сайты.

Но я всеравно сразу эти варианты откидываю, т.к. бегать по всему предприятию и смотреть включен ли какой-то там плагин — это жесть.

Поэтому фильтрация на гейте — самое дельное.

Тщемтаконоиесь.

Юзерскрипт, который пробежится по DOM дереву сразу, а затем всегда будет отслеживать попытки вставки в DOM новых скриптов, и попытки фоновых коннектов и запросов по аяксам, фетчам и прочим вебсокетам, и проверять, с доверенного ли ресурса эта гадость загружается

и половина веба у тебя сразу отвалится, потому что страницы современных сайтов-одностраничников пусты с одним тэгом-плейсхолдером, куда что-то начинает рисоваться только уже после загрузки страницы

А зачем CT –helper вообще нужно сейчас, напомните пожалуйста?

NoScript

Ну это же из серии адблоков. Или он вообще ломает сайты.

Если сайт в белом списке, он работает нормально. Но если он пытается подгрузить скрипт с неизвестного сайта, этот скрипт не заработает. То есть достаточно прописать разрешения нескольким десяткам сайтов, а всё остальное — под ответственность конкретных пользователей.

Но я всеравно сразу эти варианты откидываю, т.к. бегать по всему предприятию и смотреть включен ли какой-то там плагин — это жесть.

uBlock умеет автоматически обновлять списки фильтров, в том числе и с локального сервера. NoScript умеет импортировать и экспортировать списки. Думаю, можно и это как-то делать централизовано.

но кнопка отключения у пользака под носом, поэтому - нафик. вот для себя лично - да, ты знаешь что и зачем делаешь.

но кнопка отключения у пользака под носом

Хотя бы отсечёт большую часть самых безграмотных.

Для работы через NAT протоколов с несколькими соединениями.

в конце исходника есть перечисление их (13 шт)

ALG - дикое бесполезное легаси. Их вообще кто-то включает? Зачем?

В прошлом году понадобилось клиентам несколько pptp к одному серверу - пришлось включить :(