Firefox + noscript v.s. systemd-nspawn - negação de ABE

Navegue suas respostas
0
    [ABE] < LOCAL> Deny on {GET http://jessie/icons/openlogo-75.png <<< http://jessie/ - 1}
    SYSTEM rule:
    Site LOCAL
    Accept from LOCAL
    Deny

i.e. páginas no link não podem carregar imagens ou qualquer outro sub-recurso. 

$ getent ahosts jessie
192.168.122.74 STREAM jessie
192.168.122.74 DGRAM
192.168.122.74 RAW
fe80::b4f5:2ff:feb9:b12f STREAM
fe80::b4f5:2ff:feb9:b12f DGRAM
fe80::b4f5:2ff:feb9:b12f RAW

NoScript versão 5.0.5

"jessie" é um contêiner systemd-nspawn. Seu nome é resolvido por nss-mymachines . Por que isso acontece, qual é o diagreement entre systemd e NoScript?

    
por sourcejedi 11.06.2017 / 14:53

1 resposta

0

barbaz nos fóruns sugere que isso pode acontecer se "jessie" resolver para endereços LOCAL e não LOCAL. Parece que o NoScript o interpreta como um ataque como o "ataque de religação de DNS".

Endereços locais de link IPv6 (seus fe80... endereços) não são tratados como LOCAL. Eu acho que a explicação é que iria quebrar alguns sites na Web que têm mal configurado DNS :(.

Acho que é possível desabilitar o IPv6 dentro do contêiner, usando o sysctl net.ipv6.conf.all.disable_ipv6=1 . Mas não tenho certeza se essa é uma ótima resposta, pois há uma limitação no suporte a IPv6 do NoScript.

Eu posso contornar isso no NoScript adicionando isso no topo das Opções NoScript > Avançado > ABE > SISTEMA: 

# NoScript default rule chokes when name resolves to both IPv6 LLA
# and IPv4 "private" address.
# https://unix.stackexchange.com/questions/370485/firefoxnoscript-v-s-systemd-nspawn-abe-denials/370486#370486
# Treat nodots domain as (an independent) LAN.
# Useful for nss-mymachines.   I think LLMNR would also be affected.
Site ^https?://[^.]*[:/]
Accept from ^https?://[^.]*[:/]
Deny
    
por 11.06.2017 / 14:53

Tags

Usando senhas com hash do openLDAP para autenticação no Mikrotik hotspot com passo intermediário como FreeRADIUS A senha é negada sob certas circunstâncias