Une fonctionnalité du projet open source Chromium, qui constitue la base de Google Chrome, Microsoft Edge et plusieurs autres navigateurs Web, pose de sérieux problèmes en ligne.
Le détecteur de redirection Intranet de Chromium est conçu pour détecter si le FAI d'un utilisateur détourne des résultats de domaine inexistants, également appelés détournement NXDOMAIN. Pour ce faire, il est statistiquement improbable que des requêtes fausses pour des «domaines» aléatoires existent. Dans le même temps, le détecteur de redirection intranet est responsable de près de la moitié du trafic total que reçoivent les serveurs de noms de domaine racine (DNS) du monde entier.
Afin de détecter si un réseau détournera ou non les requêtes DNS, tous les navigateurs basés sur Chromium invoquent au hasard trois noms de domaine entre 7 et 15 caractères pour les tests au démarrage et à chaque fois que les paramètres IP ou DNS d'un appareil changent. Si la réponse de deux domaines renvoie la même adresse IP, un navigateur croira qu'un réseau capture et redirige les demandes de domaine inexistantes.
L'ingénieur de Verisign Matt Thomas a fourni des informations supplémentaires sur la façon dont le détecteur de redirection intranet a augmenté la part de marché de Chrome depuis son introduction en 2010 dans un article de blog, disant:
«Des requêtes faussement positives de type Chromium ont été observées dans les données DITL avant l'introduction de la fonctionnalité, représentant environ 1% du trafic total, mais au cours des 10+ années qui ont suivi l'ajout de la fonctionnalité, nous constatons maintenant que la moitié des Le trafic du serveur racine DNS est très probablement dû aux sondes de Chromium. Cela équivaut à environ 60 milliards de requêtes adressées au système du serveur racine par jour. »
Sommaire
Détournement de NXDOMAIN
Lorsqu'un utilisateur saisit mal un nom de domaine dans son navigateur, son FAI peut utiliser un détournement DNS pour l'envoyer vers l'un de ses propres portails, par opposition au site vers lequel il essayait à l'origine de naviguer.
Lors de son lancement, les créateurs de Chromium ont inclus une nouvelle fonctionnalité dans leur navigateur, appelée omnibox, qui permettait aux utilisateurs d'utiliser la barre d'adresse pour naviguer vers des sites ou pour effectuer une recherche. Le problème avec cela est le fait que de nombreuses organisations utilisent des noms de domaine sans ornements sur leurs intranets afin que le personnel puisse utiliser des noms à un seul mot pour atteindre les serveurs d'entreprise internes de leur organisation.
Chromium vérifie si un terme de recherche entré dans la barre d'adresse fonctionne également comme un nom de domaine afin qu'il n'empêche pas accidentellement les utilisateurs d'accéder aux serveurs de leur intranet. Cependant, si quelqu'un utilise un FAI avec des serveurs DNS qui effectuent un détournement NXDOMAIN, alors chaque nom de domaine essayé par un utilisateur semblera exister et Chromium ne pourra pas dire si quelque chose est un terme de recherche ou un nom de domaine.
Les programmeurs de Chromium ont ensuite conçu leur fonction Intranet Redirect Detector pour les aider à décider d'activer ou non leur fonction omnibox dans la barre d'adresse du navigateur.
Heureusement, il y a maintenant un bogue ouvert dans le projet Chromium demandant que cette fonctionnalité soit désactivée par défaut afin de résoudre ce problème. Nous devrons attendre de voir, mais cela empêcherait les serveurs DNS racine du monde de traiter 60 milliards de requêtes inutiles chaque jour.
Via Ars Technica
