Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
Простая, удобная и экономящая ресурсы технология всегда очень привлекательна для разработчиков, которые ищут базу для своего продукта. Один из доступных вариантов — WebRTC с открытым кодом, которая стала находкой для многих сервисов видеосвязи. Разбираемся, насколько она безопасна, и можно ли при необходимости отключать WebRTC, чтобы сохранить конфиденциальность.
Что такое WebRTC
WebRTC (или Web Real-Time Communication) — решение, которое дает возможность организовывать звонки без установки дополнительных плагинов. Оно работает практически во всех версиях браузеров. Google разработал технологию как коммуникационный проект с открытым исходным кодом, работающий по системе передачи информации «точка-точка». Двухточечный обмен данными достаточно прост, он отлично подходит для локального взаимодействия, где отправитель и получатель объединены одним коммутатором.
WebRTC лежит и в основе Контур.Толка. В поисках решения для внутрикорпоративного (а позже и для внешнего) использования продукта для видеосвязи разработчики выбрали эту технологию. Они провели все необходимые интеграции и получили качественный сервис, который работает через браузер. Затем появилось приложение ПК, а осенью 2022 года — приложение для мобильных устройств. Это оказалось удобнее и доступнее зарубежных аналогов, а также гораздо эффективнее для задач Контура, ведь теперь продукт дорабатывался под нужды и запросы конкретных пользователей — сотрудников компании.
Как работает WebRTC
Если говорить простыми словами, WebRTC позволяет передавать аудио, видео и файлы напрямую от пользователя к пользователю. Для этого не нужно устанавливать специальные плагины или оборудовать отдельный сервер для хранения и обработки данных. Хранение на себя берут браузеры и мобильные приложения участников коммуникации. Это ускоряет передачу данных, потому что не задействуются лишние ресурсы серверов.
При этом решения на WebRTC поддерживают браузеры Mozilla firefox, Opera, Google Chrome и мобильные приложения на всех платформах, поэтому не нужно будет подбирать особую площадку — можно пользоваться той, к которой вы привыкли.
Уязвимости WebRTC
Преимущества в скорости и удобстве работы ВКС на базе WebRTC кажутся очевидными. Но разработчики выделяют и несколько серьезных недостатков –все несовершенства связаны с рисками утечки данных. Потому часто пользователи задумываются над отключением WebRTC.
Проблема первая. При двухточечном соединении есть риск определения IP-адреса пользователя, то есть утечки личных данных. Прямое соединение обходит все настройки конфиденциальности. В качестве решения используют VPN, который позволяет скрыть координаты.
Проблема вторая. Утечка информации может произойти из-за некачественного шифрования. Эта уязвимость в целом касается приложений, работающих в режиме реального времени. В WebRTC шифрование обязательно применяется ко всем компонентам, технология поддерживает два стандартных протокола, которых иногда недостаточно для обеспечения максимальной безопасности.
- DTLS-протокол. Встроен в браузер и используется для шифрования потоков данных. Расширение SSL позволяет защищать данные за счет простого сквозного шифрования — это снижает риск утечки данных.
- SRTP-протокол. Шифрует медиапотоки. Расширение RTP обеспечивает максимальную безопасность за счет зашифрованного механизма передачи сообщений.
Несмотря на то, что на каждый минус есть нейтрализующее решение, если у вас нет необходимости в регулярном использовании WebRTC, многие специалисты сектора безопасности советуют отключить технологию.
Проверка WebRTC на возможность утечек
Безопасность данных во время коммуникации — один из ключевых показателей, по которому пользователи выбирают сервис видеосвязи. Важно, чтобы вероятность утечки информации была равна или близилась к нулю. Как мы выяснили, в случае работы с технологией WebRTC эти риски есть. Проверить уровень безопасности можно так:
-
Отключите VPN, если подключены к нему;
-
Откройте страницу в новом окне, вбейте в поисковую строку свой IP;
-
Выпишите все IP-адреса, которые вам покажут;
-
Подключитесь к VPN, и снова откройте страницу из второго пункта;
-
Если какой-либо из IP, который вы записали, еще виден вам, то, вероятно, утечка данных есть.
Кроме того есть ряд сервисов, которые помогут автоматически провести проверку на утечку.
Как отключить WebRTC в десктопных браузерах
Если вы работаете в большой корпорации и хотите отключить WebRTC, мы рекомендуем обратиться за помощью к системным администраторам или специалистам по безопасности. Самостоятельные попытки могут привести к сбоям. Если вы хотите деактивировать WebRTC на домашнем компьютере, будьте внимательны к ресурсам, с которых вы скачиваете расширения — используйте только официальные источники.
Google Chrome
Чтобы отключить технологию real-time communication в браузере Google Chrome, понадобится установка расширения «WebRTC Control». Его можно скачать в магазине расширений через браузер. После запуска WebRTC автоматически заблокируется.
Mozilla Firefox
Настройки браузера Mozilla Firefox позволяют отключить технологию без дополнительных расширений. В адресной строке нужно ввести about:config. Появится сообщение, предупреждающие о рисках для безопасности. Прочитайте все, что напишут. Если согласны, то нажмите соответствующую кнопку и примите условия (их тоже лучше сначала прочитать, чтобы исключить все риски и нежелательные операции). В окне настроек в поиске введите media.peerconnection.enabled. Кликните на появившуюся строку и выберете пункт «Переключить», в поле «Значение» должно появиться «false». Закройте браузер и перезагрузите его. WebRTC отключена.
Microsoft Edge
Для браузера Microsoft Edge необходимо установить расширение. Edge разработан на движке Chromium, поэтому ему доступен тот же магазин, что и для Google Chrome, где вы сможете скачать и установить необходимые инструменты. Для этого в адресной строке напишите edge://extensions/ и выберите пункт «Получить расширения для Microsoft Edge». Найдите WebRTC Control, установите его и запустите. После перезагрузки браузера WebRTC будет отключен.
Opera и Яндекс.Браузер
В Opera и Яндекс.Браузере на сайте addons.opera.com в списке расширений найдите «WebRTC Control», установите его и запустите. Также помогает отключить технологию плагин «WebRTC Leak Prevent».
Safari
Зайдите в настройки браузера Safari. Во вкладке «Дополнения» выберите раздел «Разработка в меню», в списке отключите Remove Legacy WebRTC API. WebRTC отключена.
Отключение WebRTC на мобильных устройствах
Safari на iOS
Внимание: сценарий, описанный ниже, подходит для старых версий iOS. В текущих версиях отсутствует Remove Legacy WebRTC API в разделе «Experimental Features». Как только мы узнаем решение для этого вопроса — обязательно поделимся с вами.
Чтобы отключить WebRTC в Safari на iOS, зайдите в общие настройки смартфона, перейдите в пункт Safari. В самом низу страницы пройдите в «Дополнения» и далее — в «Experimental Features». Remove Legacy WebRTC API отображена в списке. Включите ее для отключения WebRTC.
Chrome на Android
В Google Chrome на ОС Android необходимо ввести в адресной строке chrome://flags/#disable-webrtc. Далее установить параметр enable и перезапустить браузер. Готово, WebRTC отключена.
Ручная настройка
Сначала проверьте, установлены ли дезактивирующие программы, о которых мы писали выше, и включены ли они. Для этого в меню настроек выберите вкладку «Дополнительные инструменты», далее — «Расширения». Если программы есть, их можно отключить на время звонка по обратному принципу (идите по инструкции от конца к началу кроме указания исходных точек).
Настройка через плагин
Если по какой-то причине вам не удалось вручную подключить или отключить WebRTC, сделать это можно с помощью специальных плагинов. Такой плагин скачивается и запускается по инструкции в два клика, он автоматически блокирует расширения и подключает WebRTC. Отключить технологию можно через деактивацию плагина.
