Firefox + noscript v.s. systemd-nspawn - ABE denial
[ABE] < LOCAL> Deny on {GET http://jessie/icons/openlogo-75.png <<< http://jessie/ - 1} SYSTEM rule: Site LOCAL Accept from LOCAL Denyie страницы на http: // jessie не могут загружать изображения или любые другие подресурсы.
$ getent ahosts jessie 192.168.122.74 STREAM jessie 192.168.122.74 DGRAM 192.168.122.74 RAW fe80::b4f5:2ff:feb9:b12f STREAM fe80::b4f5:2ff:feb9:b12f DGRAM fe80::b4f5:2ff:feb9:b12f RAWNoScript версии 5.0.5
«jessie» - это контейнер systemd-nspawn. Его имя разрешено
nss-mymachines. Почему это происходит, в чем разница между systemd и NoScript?
barbaz на форуме предполагает, что это может произойти, если "jessie" разрешается как в ЛОКАЛЬНЫЙ, так и в не -ЛОКАЛЬНЫЙ адрес. Похоже, что NoScript интерпретирует это как атаку типа «атака с повторной привязкой DNS».
IPv6-ссылка -локальные адреса (ваши fe80...адреса )не считаются ЛОКАЛЬНЫМИ. Я думаю, это объясняется тем, что некоторые сайты в Интернете, которые неправильно -настроили DNS :(, могут разрушиться.https://github.com/avian2/noscript/blob/ebc093642cb9645bc18b63fc151d3b00063b97ee/xpi/chrome/content/noscript/DNS.js#L337
Я думаю, что можно отключить IPv6 внутри контейнера, используя sysctl net.ipv6.conf.all.disable_ipv6=1. Но я не уверен, что это отличный ответ из-за ограничения поддержки IPv6 в NoScript.
Я могу обойти это в NoScript, добавив это в самый верх параметров NoScript > Дополнительно > ABE > SYSTEM:
# NoScript default rule chokes when name resolves to both IPv6 LLA
# and IPv4 "private" address.
# https://unix.stackexchange.com/questions/370485/firefoxnoscript-v-s-systemd-nspawn-abe-denials/370486#370486
# Treat nodots domain as (an independent) LAN.
# Useful for nss-mymachines. I think LLMNR would also be affected.
Site ^https?://[^.]*[:/]
Accept from ^https?://[^.]*[:/]
Deny