Ho due computer, entrambi localizzati nella stessa rete WIFI locale (ovvero: collegati allo stesso router).
Uso VPN su un computer per visitare un sito Web e non utilizzare VPN su un altro per visitare lo stesso sito Web. Questo sito può sapere che entrambi i computer si trovano all'interno della stessa rete WIFI locale?
In teoria, sì, lo standard webrtc consente a un sito Web di determinare l'indirizzo IP locale, in modo che possa creare una connessione diretta per un altro browser Web, consentendo ad esempio connessioni dirette tra i browser per configurare lo streaming video.
Questo sito Web ha una prova di concetto che mostra il tuo indirizzo IP interno ed esterno: link
Una volta che il sito ha entrambi gli indirizzi IP interni, può usare javascript per provare a configurare una connessione tramite gli ip interni da pc1 a pc2, se questo succede, sa che questi 2 pc si trovano nella stessa rete locale.
commento: Chrome su iOS, Internet Explorer e Safari non implementano ancora WebRTC, vedi link per maggiori informazioni.
Aggiornamento 23/08/2018: Un altro possibile vettore di attacco è arrivato alla mia attenzione ultimamente:
Rebinding DNS, da wikipedia:
In this attack, a malicious web page causes visitors to run a client-side script that attacks machines elsewhere on the network. In theory, the same-origin policy prevents this from happening: client-side scripts are only allowed to access content on the same host that served the script. Comparing domain names is an essential part of enforcing this policy, so DNS rebinding circumvents this protection by abusing the Domain Name System (DNS).
This attack can be used to breach a private network by causing the victim's web browser to access machines at private IP addresses and return the results to the attacker. It can also be employed to use the victim machine for spamming, distributed denial-of-service attacks or other malicious activities.
Funziona avendo un sito Web dannoso / server DNS che imposta un ttl molto basso per le sue richieste DNS e quindi che ha javascript che esegue script sull'indirizzo del sito web originale. La metà delle volte il dns risponderà con l'ip esterno corretto, quindi il sito Web verrà caricato, ma dopo alcuni minuti quando il javascript si avvia e tenta di accedere nuovamente al sito Web, il dns risponderà con un indirizzo ip locale (ad esempio 192.168. 0.1, questo può cambiare ogni pochi minuti) e il browser eseguirà il javascript e si connetterà ai dispositivi sulla rete locale!
Se il tuo sistema è configurato correttamente (la tua VPN non perde, non hai mai contattato il sito web se non attraverso la tua VPN, non stai permettendo al sito web di eseguire nulla sul tuo computer con qualsiasi cosa tranne la priorità predefinita e il web il sito non sta sfruttando qualcosa nella configurazione per eseguire il codice da solo), quindi no: il sito Web non può scoprire che entrambe le macchine si trovano sulla stessa rete locale.
Questo non vuol dire che non può scoprire che sono collegati indirettamente: il modo ovvio è se accedi con le stesse credenziali ma sono altri, più sottili (cookie e oggetti correlati, analisi dei pattern di utilizzo, ecc. )
O.K. Dopo alcune ricerche ho scoperto che potrebbe essere possibile utilizzando un controllo ActiveX malevolo. Per uno, tale controllo è in grado di leggere i file sul disco locale. Questo potrebbe essere utilizzato per determinare il tipo di connessione e, eventualmente, i dettagli di connessione, incluso ESSID e potenzialmente il SSID . Però non sono neanche lontanamente in grado di produrre un codice PoC. Questo ovviamente si applica solo ai browser che supportano ActiveX.
Altri metodi potrebbero coinvolgere Java e generalmente iniettare codice malevolo per ottenere il controllo della tua macchina, ma quest'ultima è ben oltre lo scopo di questa domanda.
In generale, un browser non può rilevare l'IP locale o alcuna informazione sulla tua LAN. Pertanto, qualsiasi codice javascript in esecuzione nel tuo browser non può comunicare al sito web alcuna informazione sul tuo computer o sulla tua LAN.
TUTTAVIA ... la maggior parte dei plug-in del browser e i controlli Flash o Active-X possono accedere ai dati che sono normalmente limitati dal browser. Per questo motivo, è importante trattare i plug-in e le estensioni del browser MOLTO attentamente. Se possibile, non usarli mai e, se necessario, mantenere le impostazioni del plug-in su "ask" (dove il browser ti chiede prima di eseguire un plug-in su qualsiasi sito).
No. Il sito web conosce solo l' indirizzo IP pubblico da dove ti stai connettendo.
Ovviamente l' indirizzo IP pubblico è diverso quando attraversi il tuo router locale piuttosto che passare attraverso una VPN.
Se si utilizza una VPN, l' indirizzo IP pubblico è l'indirizzo del router utilizzato per uscire nel sito in cui termina il tunnel VPN. Potrebbe essere anche in un altro paese. È il trucco che alcune persone usano per aggirare le restrizioni regionali su YouTube, Netflix, Hulu, ecc.
Leggi altre domande sui tag privacy web-browser vpn