[ABE] < LOCAL> Deny on {GET http://jessie/icons/openlogo-75.png <<< http://jessie/ - 1}
SYSTEM rule:
Site LOCAL
Accept from LOCAL
Deny
つまり、ページhttp://ジェシーイメージまたは他のサブリソースをロードできません。
$ getent ahosts jessie
192.168.122.74 STREAM jessie
192.168.122.74 DGRAM
192.168.122.74 RAW
fe80::b4f5:2ff:feb9:b12f STREAM
fe80::b4f5:2ff:feb9:b12f DGRAM
fe80::b4f5:2ff:feb9:b12f RAW
NoScript バージョン 5.0.5
"jessie"はsystemd-nspawnコンテナです。その名前はによって決まりますnss-mymachines
。なぜこれが起こり、systemdとNoScriptの違いは何ですか?
ベストアンサー1
フォーラムのBarbaz「jessie」がローカルアドレスとローカルではないアドレスの両方で解決されると、これが発生する可能性があることが示唆されます。 NoScriptはこれを「DNSリバインディング攻撃」のように解釈しているようです。
IPv6リンク - ローカルアドレス(あなたのfe80...
アドレス)はローカルアドレスとは見なされません。私の考えでは、ネットワーク上の特定のDNSが正しく構成されていないサイトがクラッシュするという説明があるようです。 https://github.com/avian2/noscript/blob/ebc093642cb9645bc18b63fc151d3b00063b97ee/xpi/chrome/content/noscript/DNS.js#L337
sysctlを使用してコンテナ内でIPv6を無効にすることが可能だと思いますnet.ipv6.conf.all.disable_ipv6=1
。しかし、NoScriptのIPv6サポートの制限により、これが良い反応であるかどうかはわかりません。
NoScript オプション > 詳細 > ABE > システムの上部に以下を追加することで、NoScript でこの問題を解決できました。
# NoScript default rule chokes when name resolves to both IPv6 LLA
# and IPv4 "private" address.
# https://unix.stackexchange.com/questions/370485/firefoxnoscript-v-s-systemd-nspawn-abe-denials/370486#370486
# Treat nodots domain as (an independent) LAN.
# Useful for nss-mymachines. I think LLMNR would also be affected.
Site ^https?://[^.]*[:/]
Accept from ^https?://[^.]*[:/]
Deny