Категория > Новости > В Tor Browser исправлен баг, позволявший деанонимизировать пользователей - «Новости»

В Tor Browser исправлен баг, позволявший деанонимизировать пользователей - «Новости»


25-03-2020, 16:05. Автор: Кондрат

В середине марта 2020 года стало известно, что из-за ошибки Tor Browser может выполнять код jаvascript на сайтах, даже если запуск jаvascript был сознательно заблокирован пользователем.


Как мы писали, возможность блокирования выполнения jаvascript является один из важных аспектов безопасности Tor Browser. Именно из-за того, что браузер сосредоточен на сохранении конфиденциальности пользователей (в частности, он маскирует реальные IP-адреса и делает все, чтобы сохранить анонимность человека) его часто используют для обхода блокировок и цензуры журналисты, политические активисты и диссиденты в странах с репрессивным режимом.


Ошибка крылась в настройках безопасности Tor Browser Bundle. Так, даже если браузер был настроен на использование самого высокого уровня безопасности (Safest), он по-прежнему разрешал выполнение кода jаvascript в некоторых ситуациях, даже когда должен его блокировать.


Тогда разработчики рекомендовали пользователям полностью отказаться от использования jаvascript и отключить его в настройках (аbout:config -> jаvascript.enabled -> false), так как обновление NoScript до версии 11.0.17 проблему, к сожалению, не решало.


Теперь инженеры Tor Project выпустили Tor Browser версии 9.0.7, в которой использование jаvascript отключается для всего браузера, если уровень безопасности установлен на значение Safest. Разработчики объясняют, что при желании пользователи могут  отдельно включить использование jаvascript в настройках.




«Это может повлиять на ваш рабочий процесс, если ранее при включенном NoScript вы разрешали jаvascript на некоторых сайтах. Мы активируем эту меру предосторожности до тех пор, пока не убедимся, что последние версии NoScript успешно блокируют выполнение jаvascript по умолчанию», — пишут представители Tor Project.



Перейти обратно к новости