03.05 // Критическая уязвимость в TorBrowser раскрывает запросы пользователей
Torproject уведомляет своих пользователей об обнаружении критической уязвимости в TorBrowser.
В текущей версии программы обращение к сайтам, использующим технологию веб-сокетов, приводит к срабатыванию кода в браузере Firefox, обходящего настройки тор-DNS. Из-за этого DNS-запросы идут в соответствии с настройками на компьютере пользователя, имена просматриваемых им сайтов становятся видны его провайдеру, используемому им DNS-серверу и любому промежуточному узлу сети между ними, способному прослушивать нешифрованные соединения.
До выхода исправленной версии TorBrowser предлагается предлагалось временное решение:
- Набрать about:config в адресной строке браузера. Нажать Enter.
- Набрать websocket в поисковом окне.
- Двойным щелчком изменить состояние поля network.websocket.enabled. После этого оно должно показывать false в столбце Value.
В настоящее время доступна обновлённая версия, в которой данная уязвимость исправлена.
Источник: TorProject blog
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 254 документов: 9 редакций: 753
Это влияет на обычный прокси, без TorButton?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
В рассылке выясняется, что Эрин и её коллеги толком не успевают протестить новые файрфоксы и просто пакуют всё в сборки как есть, наивно надеясь на саму Mozill'у.
Злопыхающие анонимусы могут занимать лучшие места, запасаться попкорном и наблюдать драму торпроджекта.
Для злорадства действительно есть основания. Разработчики Тора клали на пользователей linux и свалили всё в одну кучу, навязали "единственно-верный" браузер. Итог лишний раз показывает, что windows-way несовместим с безопасностью.
))) у вас аллергия на торпрожекти на анонимность в целом?
комментариев: 9796 документов: 488 редакций: 5664
Скорее так, потому что в Дебиане со стабильным форком старой версии (Iceweaseal) схожие проблемы. Security-патчи в него конечно бэкпортят, но это делать всё сложнее и сложнее, и в инструкциях к релизу официально объявлялось, что за его безопасность в полной мере дистростроители не отвечают из-за политики Мозиллы. Даже думали о том, чтобы вообще выкинуть этот браузер из дистра.
Проблема только ещё в том, что все конкурирующие и непугающие пользователей браузеры мало чем лучше.
windows-way (лёгкость использования) — это только часть проблемы и только половина "корня всех зол".
Как бы не получилось, что недостижима совместимость практически реализуемой анонимности с неразличаемостью профилей и безопасностью, даже без windows-way.
1. Некоторый пользователи настраивают опенднс или гугловские сервера. Тогда число узлов знающих куда вы пошли увеличивается.
2. Остальные не настраивают. Тогда атакующий сможет определить провайдера пользователя.
комментариев: 9796 документов: 488 редакций: 5664
Сценарии могут быть разными. Кто-то может использовать тор в общедоступном вайфае, локалке или на выходе из VPN, думая, что это защищает его от прослушивания в этом сегменте сети.
1 пункт не упускается, а скорее наоборот подчёркивается — прослушивать DNS запросы, утекающие к какому-нибудь гугло-DNS'у может не только сам гугл или провайдер, но и все промежуточные узлы интернета.
По поводу п.2 поясните, это скорее провайдер пользователя может определить такого невольного атакующего, а самому атакующему от этого разве есть толк? До него DNS запросы не доходят (?).
У вебсокетов есть какие-то ограничения, поэтому тут возможно придется довольствоваться только таймингами, а не сгенерировано индивидуальными хостами.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 254 документов: 9 редакций: 753
А пофиксили TorButton или правили исходники?