03.05 // Критическая уязвимость в TorBrowser раскрывает запросы пользователей
Torproject уведомляет своих пользователей об обнаружении критической уязвимости в TorBrowser.
В текущей версии программы обращение к сайтам, использующим технологию веб-сокетов, приводит к срабатыванию кода в браузере Firefox, обходящего настройки тор-DNS. Из-за этого DNS-запросы идут в соответствии с настройками на компьютере пользователя, имена просматриваемых им сайтов становятся видны его провайдеру, используемому им DNS-серверу и любому промежуточному узлу сети между ними, способному прослушивать нешифрованные соединения.
До выхода исправленной версии TorBrowser предлагается предлагалось временное решение:
- Набрать about:config в адресной строке браузера. Нажать Enter.
- Набрать websocket в поисковом окне.
- Двойным щелчком изменить состояние поля network.websocket.enabled. После этого оно должно показывать false в столбце Value.
В настоящее время доступна обновлённая версия, в которой данная уязвимость исправлена.
Источник: TorProject blog
комментариев: 9796 документов: 488 редакций: 5664
Исходники файрфокса. Без патченного файрфокса TorButton бесполезен, он принципиально и не мог закрыть эту дыру. Будет ли сама Mozilla принимать этот патч в апстрим — сомнительно, так что проджекту придёться пока эту фичу поддерживать в своём торбраузере самостоятельно. Как и множество других.
Это ответ и на вопрос в начале темы:
использование непатченного FF с прокси (как раньше было для privoxy/polipo) неактуально по причине этого и потенциальных аналогичных багов.
1.4.5.1
зы: у госпожи Кларк окончательно мозги сифилис съел, походу даже не читала изменения свистелок в релизе FF12.0
ZOGбог даст – не сдуется.Что эти деятели там пофиксили? Сомнительно,что за такой короткий промежуток времени,они смогли разобрать весь код браузера и найти эту багу с websocket.
Mozilla им явно не помощник)
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1060 документов: 16 редакций: 32
Это имя переменной. А какое у неё стоит значение? Должно быть false.
Скорее всего, кто-то случайно заметил соединение мимо тора, а дальше начали разбираться.
комментариев: 9796 документов: 488 редакций: 5664
Патч не отключает вебсокеты, а исправляет работу с DNS, так что их запросы теперь идут через тор.
и заметил это на странице bitcoincharts.org с кода которой стало ясно, что дело в вебсокетах.
нет в 2.2.35-11 сейчас стоит TRUE! (по дефолту)
network.websocket.enabled – true
проверьте у себя
комментариев: 9796 документов: 488 редакций: 5664
Так и должно быть. Отключение вебсокетов вручную было временным решением. Теперь они работают безопасно.
не открывается. а где еще найти такие сайты чтобы прверить?
комментариев: 1060 документов: 16 редакций: 32
Да, пропустил :)
комментариев: 9796 документов: 488 редакций: 5664
http://bitcoincharts.com/
Firefox версии 10 получил статус LTS (Long Term Support) и будет обновляться до 2013.
Так какого чёрта они на нём не остались, раз им времени нехватает тестировать?