Firefox + noscriptとsystemd-nspawn - ABEが拒否されました

Question

フォーラムのBarbaz「jessie」がローカルアドレスとローカルではないアドレスの両方で解決されると、これが発生する可能性があることが示唆されます。 NoScriptはこれを「DNSリバインディング攻撃」のように解釈しているようです。

IPv6リンク - ローカルアドレス（あなたのfe80...アドレス）はローカルアドレスとは見なされません。私の考えでは、ネットワーク上の特定のDNSが正しく構成されていないサイトがクラッシュするという説明があるようです。 https://github.com/avian2/noscript/blob/ebc093642cb9645bc18b63fc151d3b00063b97ee/xpi/chrome/content/noscript/DNS.js#L337

sysctlを使用してコンテナ内でIPv6を無効にすることが可能だと思いますnet.ipv6.conf.all.disable_ipv6=1。しかし、NoScriptのIPv6サポートの制限により、これが良い反応であるかどうかはわかりません。

NoScript オプション > 詳細 > ABE > システムの上部に以下を追加することで、NoScript でこの問題を解決できました。

# NoScript default rule chokes when name resolves to both IPv6 LLA
# and IPv4 "private" address.
# https://unix.stackexchange.com/questions/370485/firefoxnoscript-v-s-systemd-nspawn-abe-denials/370486#370486
# Treat nodots domain as (an independent) LAN.
# Useful for nss-mymachines.   I think LLMNR would also be affected.
Site ^https?://[^.]*[:/]
Accept from ^https?://[^.]*[:/]
Deny

Answer 1

フォーラムのBarbaz「jessie」がローカルアドレスとローカルではないアドレスの両方で解決されると、これが発生する可能性があることが示唆されます。 NoScriptはこれを「DNSリバインディング攻撃」のように解釈しているようです。

IPv6リンク - ローカルアドレス（あなたのfe80...アドレス）はローカルアドレスとは見なされません。私の考えでは、ネットワーク上の特定のDNSが正しく構成されていないサイトがクラッシュするという説明があるようです。 https://github.com/avian2/noscript/blob/ebc093642cb9645bc18b63fc151d3b00063b97ee/xpi/chrome/content/noscript/DNS.js#L337

sysctlを使用してコンテナ内でIPv6を無効にすることが可能だと思いますnet.ipv6.conf.all.disable_ipv6=1。しかし、NoScriptのIPv6サポートの制限により、これが良い反応であるかどうかはわかりません。

NoScript オプション > 詳細 > ABE > システムの上部に以下を追加することで、NoScript でこの問題を解決できました。

# NoScript default rule chokes when name resolves to both IPv6 LLA
# and IPv4 "private" address.
# https://unix.stackexchange.com/questions/370485/firefoxnoscript-v-s-systemd-nspawn-abe-denials/370486#370486
# Treat nodots domain as (an independent) LAN.
# Useful for nss-mymachines.   I think LLMNR would also be affected.
Site ^https?://[^.]*[:/]
Accept from ^https?://[^.]*[:/]
Deny

Firefox + noscriptとsystemd-nspawn - ABEが拒否されました

ベストアンサー1

おすすめ記事