security
Icedove (تاندربرد) باعث درز آدرس آی‌پی واقعی می‌شود

Icedove (تاندربرد) باعث درز آدرس آی‌پی واقعی می‌شود 2009-12-07

security/fixed

افزونهٔ تورباتِن که در فراموشی نصب می‌شود با Icedove (تاندربرد) ناهمخوانی دارد و آدرس آی‌پی واقعی رایانه به رله‌های SMTP که برای ارسال رایانامه به کار می‌روند فاش می‌شود.

نتیجه

هنگام استفاده از Icedove برای ارسال رایانامه، آدرس آی‌پی واقعی رایانامه برای رله‌ٔ SMTP فاش می‌شود که معمولاً آن را در یک سربرگ Received: داخل رایانامهٔ ارسالی می‌نویسد. این اطلاعات خصوصی در نتیجه برای این‌ها فاش می‌شود:

مدیران رلهٔ SMTP؛
هر کسی که بتواند چنین رایانامهٔ ارسالی را بخواند، از جمله: هر کسی که رایانامه برایش ارسال شده، مدیران مختلف شبکه و سرورهای رایانامه.

هنگام استفاده از یک اتصال اینترنت NATشده، آی‌پی فاش‌شده یک آدرس شبکهٔ محلی است (مثل 192.168.1.42) که معمولاً چیز زیادی فاش نمی‌کند. اما هنگام اتصال مستقیم به اینترنت، مثل استفاده از مودم دی‌اس‌ال یا پی‌پی‌پی بدون روتر، آی‌پی فاش‌شده مکان واقعی کاربر فراموشی را مشخص می‌کند.

راه‌حل

سیستم خود را به amnesia 0.4.1 ارتقاء دهید که به جای Icedove از Claws Mail استفاده می‌کند، و این تنظیمات را در ~/.claws-mail/accountrc برای همهٔ حساب‌های کاربری انجام دهید:

    set_domain=1
    domain=localhost

برای جزییات بیشتر رجوع کنید به #6119.

کاهش خطرات

بهترین کار استفاده نکردن از Icedove (تاندربرد) در فراموشی است تا زمانی که تصویرهای بدون این مشکل منتشر شوند. اگر این راه‌حل ممکن نیست:

از فراموشی پشت یک اتصال اینترنت NATشده داخل یک شبکهٔ محلی استفاده کنید که از آدرس‌های گستردهٔ آی‌پی استفاده می‌کند.
از یک رلهٔ SMTP مناسب حفظ حریم خصوصی استفاده کنید که آدرس آی‌پی کارخواه را هر جایی ننویسد، به خصوص در سربرگ‌های رایانامه.

در نظر داشته باشید که استفاده از GnuPG این مشکل را کاملاً حل نمی‌کند: GnuPG تنها متن رایانامه را رمزگذاری می‌کند. سربرگ‌های رایانامه همواره رمزگذاری‌نشده باقی می‌مانند.

نسخه‌های تحت تأثیر

هر نسخهٔ فراموشی تا ۰٫۳. فراموشی ۰٫۴ تحت تأثیر این مشکل نیست.