The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.11.2017 21:44  В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес

Сформирован корректирующий релиз специализированного браузера Tor Browser 7.0.9, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть информацию об IP-адресе системы пользователя через манипуляцию с открытием ресурсов с использованием схемы "file://", при помощи которой можно инициировать прямое соединение в обход Tor. Уязвимости присвоено кодовое имя TorMoil.

Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке. Детали уязвимости пока не раскрыты публично и доступны только разработчикам браузера (вероятно, проблема сходна с недавно выявленной тем же исследователем уязвимостью при обработке file:// в Safari). Исправление сводится к запрету URL "file://".

Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов).

Кроме того, проект Tor анонсировал введение в строй протокола скрытых сервисов третьего поколения, поддержка которого была реализована в находящейся на стадии альфа-тестирования ветке Tor 0.3.2. Третья версия протокола для onion-сервисов отличается переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.

  1. Главная ссылка к новости (https://blog.torproject.org/to...)
  2. OpenNews: Обновление web-браузера Tor Browser 7.0.7 с поддержкой sandbox для Linux
  3. OpenNews: Пятый тестовый выпуск системы мгновенного обмена сообщениями от проекта Tor
  4. OpenNews: Стабильный выпуск новой ветки Tor 0.3.1
  5. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:53, 03/11/2017 [ответить] [смотреть все]
  • –5 +/
    Даже и не знаю что написать. Это просто какой то позор
     
     
  • 2.2, Аноним999, 22:56, 03/11/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +16 +/
    Позор — это верить в анонимность Tor.
     
     
  • 3.5, Анончик, 23:04, 03/11/2017 [^] [ответить] [смотреть все]
  • +12 +/
    Щас тебя за оскорбление чувств анонимуса.
     
  • 3.8, user, 23:16, 03/11/2017 [^] [ответить] [смотреть все]
  • +/
    Tor не только для анонимности, но и для негосударственного доступа к негосударст... весь текст скрыт [показать]
     
  • 3.9, AnonPlus, 23:36, 03/11/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    А при чём тут Tor, если уязвимость в Firefox?
     
     
  • 4.28, Тот_Самый_Анонимус, 09:09, 04/11/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Ну так писали бы сами свой браузер А то как хвастаться 8212 тор, как позорит... весь текст скрыт [показать]
     
     
  • 5.36, Аноним, 11:09, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Хотя бы раз на torproject org заходил Чего глупости то всякие пишем Torовцы ни... весь текст скрыт [показать]
     
     
  • 6.66, Тот_Самый_Анонимус, 16:34, 05/11/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Я о комментарии говорил.
     
  • 3.12, nazarpc, 00:45, 04/11/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Смотря о каком уровне анонимности речь Сильную анонимность Tor не предоставляет... весь текст скрыт [показать]
     
     
  • 4.21, Аноним, 08:11, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Они сами пишут на сайте, что тор вообще не предназначен для сокрытия активности ... весь текст скрыт [показать]
     
  • 4.37, Аноним, 11:11, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    А что предоставляет "сильную" анонимность? Хочу, очень хочу знать )
     
     
  • 5.62, Аноним, 11:32, 05/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Наличие действующего головного мозга, понимание того как работают компьютеры и с... весь текст скрыт [показать]
     
  • 5.68, Аноним, 22:25, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Неуловимость Джо То есть работа в АНБ, когда АНБ про тебя и так всё знает, в то... весь текст скрыт [показать]
     
  • 5.75, Andrew Kolchoogin, 10:04, 08/11/2017 [^] [ответить] [смотреть все]  
  • +/
    > А что предоставляет "сильную" анонимность?

    Любой store-and-forward-метод обмена информацией, состоящий из трёх и более узлов-ретрансляторов, вносящих случайную, и при этом достаточно большую задержку в передаче информации от узла к узлу, для того, чтобы противостоять корреляционной атаке.

    Правда, браузить CP через такую систему не получится, о чём авторы Tor (и, кстати, I2P) честно и заявляют -- "любая сеть луковой/чесночной маршрутизации, пригодная, например, для Web-браузинга, будет неустойчива к атакам пересечением".

    Впрочем, в любом случае, любая анонимизирующая сеть неустойчива к атаке захвата 50%+1 узла, но это весьма теоретическая атака.

    > Хочу, очень хочу знать )

    Это похвально. :)

     
  • 3.14, Аноним, 01:35, 04/11/2017 [^] [ответить] [смотреть все]  
  • +11 +/
    Позор - это не отличать Tor от Tor Browser.
     
  • 3.18, Аноним, 05:31, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Вам никакой инструмент не поможет сохранить анонимность, если вы им неправильно ... весь текст скрыт [показать]
     
     
  • 4.22, Аноним, 08:15, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Я тебе по секрету скажу таких не существует в природе Можно только сильно осло... весь текст скрыт [показать]
     
     
  • 5.38, Аноним, 11:14, 04/11/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Свет клином сошелся только на спецслужбах А криминала вообще нет Прапвозащитни... весь текст скрыт [показать]
     
     
  • 6.46, Аноним, 12:22, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    >Чего хрень то пишем?

    Они по методичке пишут.

     
  • 6.51, Аноним, 16:23, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Пример, пожайлуста И объяснение как им помог тор НЕ погибнуть НУ ... весь текст скрыт [показать]
     
     
  • 7.54, КО, 17:48, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    А чуть-чуть, самую малость, ну хоть немного подумать Я понимаю, что это крайне ... весь текст скрыт [показать]
     
     
  • 8.56, Аноним, 19:16, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    https www opennet ru openforum vsluhforumID3 112676 html 46 ... весь текст скрыт [показать]
     
  • 7.61, Аноним, 11:18, 05/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну вот так Меньше всяких удаков узнало где они живут Очень полезно для здоровь... весь текст скрыт [показать]
     
  • 6.74, Аноним, 12:18, 07/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Если брать профессионально работающих, то их найти не сложно, т к они по работе... весь текст скрыт [показать]
     
  • 3.60, Аноним, 11:17, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Как часть комплексного решения - вполне нормально Но если это единственное что ... весь текст скрыт [показать]
     
  • 2.7, Аноним, 23:13, 03/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    диктую по буквам никогда не было, и вот, опять ... весь текст скрыт [показать] [показать ветку]
     
  • 2.10, Аноним, 23:43, 03/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Позор что не используешь sandboxed-tor-browser!
    В курсе хоть что это???
     
  • 1.3, AntonAlekseevich, 22:59, 03/11/2017 [ответить] [смотреть все]  
  • +1 +/
    > Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке.

    Пока не так всё и плохо. Я думал будет хуже.

     
     
  • 2.6, тоже Аноним, 23:12, 03/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Согласен, если бы она проявлялась под окошками, ее бы реально взяли на вооружени... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, Агроном, 03:37, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А что мешает кликнуть жабаскриптом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Аноним, 08:16, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Тем что сторонние жаба скрипты блокируются?
     
     
  • 4.27, AntonAlekseevich, 08:51, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Если вы не сказали No-Script разрешить все скрипты.
     
     
  • 5.30, Аноним, 10:22, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Какой идиот это будет делать в торе ... весь текст скрыт [показать]
     
     
  • 6.49, user, 15:43, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    В Гитхабе и Википедии не всё работает без скриптов.
     
     
  • 7.52, Аноним, 16:23, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Зачем это делать через тор И что мешает включить только некоторые скрипты ... весь текст скрыт [показать]
     
     
  • 8.53, user, 16:31, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    https en wikipedia org wiki Censorship_of_GitHub https en wikipedia org wiki... весь текст скрыт [показать]
     
  • 7.69, Аноним, 22:27, 05/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Википедия прекрасно работает без скриптов ... весь текст скрыт [показать]
     
  • 6.78, Битмап, 18:36, 08/11/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >> Если вы не сказали No-Script разрешить все скрипты.
    > Какой идиот это будет делать в торе?

    Я это буду делать в Торе.
    Чтобы порыться на Рутрекере.
    Рутрекер не дает залогониться без JS.

     
     
  • 7.79, Битмап, 18:42, 08/11/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Глобально, конечно No-Script останется действующим, но на Рутрекере JS включу.
     
  • 1.11, Аноним, 00:12, 04/11/2017 [ответить] [смотреть все]  
  • +3 +/
    Мне кажется, полагаться на надёжность обеспечения анонимности путём только лишь ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 01:09, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Так то оно конечно так, но причем здесь ТВ?
     
     
  • 3.15, Аноним, 02:26, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    В TB сетевая изоляция осуществляется именно на этом уровне Открываешь из него в... весь текст скрыт [показать]
     
     
  • 4.17, Онаним, 04:38, 04/11/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А нефиг открывать через браузер внешние программы.
     
     
  • 5.19, Аноним, 06:25, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Какая разница, через браузер или через файловый менеджер Хочешь сказать, нельзя... весь текст скрыт [показать]
     
     
  • 6.24, Аноним, 08:18, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    который не читается твоим плеером FAIL И куча мусора туда тоже вставленно Я... весь текст скрыт [показать]
     
     
  • 7.48, Аноним84701, 14:35, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то CODE mpv test mp3 ... весь текст скрыт [показать]
     
  • 6.39, Аноним, 11:18, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Потому что перед тем как пользоваться чем то, нужно читать руководства для польз... весь текст скрыт [показать]
     
     
  • 7.57, Аноним, 19:37, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    https www opennet ru openforum vsluhforumID3 109882 html 31 ... весь текст скрыт [показать]
     
     
  • 8.64, Аноним, 11:55, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    sandboxed-tor-browser
     
  • 6.63, Аноним, 11:40, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Открывай на отдельной виртуалочке без сети Софт хрен оспорит, разве что AI прит... весь текст скрыт [показать]
     
  • 4.76, Andrew Kolchoogin, 10:08, 08/11/2017 [^] [ответить] [смотреть все]  
  • +/
    > В TB сетевая изоляция осуществляется именно на этом уровне. Открываешь из него
    > во внешней программе любой ссылающийся на сетевые ресурсы документ — и
    > ты спалился.

    Не надо так делать. Афтары же пишут -- если вам надо открыть документ, выкачанный из Даркнетов, поднимите VirtualBox с отгрызенной сеткой.
    Сопсна, при определённой степени прямоты рук это можно сделать даже по клику в Tor Browser'е.

     
  • 1.20, Аноним, 07:14, 04/11/2017 [ответить] [смотреть все]  
  • +3 +/
    Достали уже с этими кодовыми именами Надеюсь, на этот раз сайт отдельный на т... весь текст скрыт [показать]
     
     
  • 2.31, Аноним, 11:03, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Какие кодовые имена Какой сайт ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.73, Аноним, 08:01, 07/11/2017 [^] [ответить] [смотреть все]  
  • +/
    > Уязвимости присвоено кодовое имя TorMoil
     
  • 1.26, Аноним, 08:40, 04/11/2017 [ответить] [смотреть все]  
  • +/
    че за вайн-то из тут сидящих кто-нибудь когда-нибудь кликал по file в то... весь текст скрыт [показать]
     
     
  • 2.29, Алёнушка, 09:12, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Нельзя выходить!Опасно!
     
  • 2.33, Аноним, 11:04, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Баги и уязвимости в башке Куда не ходи всегда с собой ... весь текст скрыт [показать] [показать ветку]
     
  • 1.32, Аноним, 11:04, 04/11/2017 [ответить] [смотреть все]  
  • +1 +/
    я так понимаю, вычислять они будут по ip 192.168.1.123?
     
     
  • 2.34, Аноним, 11:05, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто вычислять Без всяких IP... весь текст скрыт [показать] [показать ветку]
     
  • 2.35, Аноним, 11:08, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    можно инициировать прямое соединение в обход Tor - засветится реальный IP тран... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Аноним, 11:20, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Зачем Провести атаку или самостоятельно выстрелить себе в ногу Цель то какая ... весь текст скрыт [показать]
     
  • 3.43, anonimus, 11:31, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Ага, прямое соединение по file:// . никуда ты по нему не выйдешь.
     
  • 1.40, gumanzoy, 11:19, 04/11/2017 [ответить] [смотреть все]  
  • +/
    Так можно MAC узнать file:///sys/class/net/eth0/address

    правда придется перебирать все варианты кроме eth0

     
     
  • 2.42, Аноним, 11:21, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Кто это будет делать за вашим ПК ... весь текст скрыт [показать] [показать ветку]
     
  • 1.44, Zenitur, 12:08, 04/11/2017 [ответить] [смотреть все]  
  • +1 +/
    Пособие для начинающих Штирлицев Винда не видит второй раздел флешки Покупаем ... весь текст скрыт [показать]
     
     
  • 2.72, Аноним123, 17:23, 06/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Спасибо /b/рат! Пили прохладую.
     
  • 1.45, Аноним, 12:09, 04/11/2017 [ответить] [смотреть все]  
  • –1 +/
    А это случайно не про /dev/tcp/host/port речь?
     
     
  • 2.50, Аноним, 15:56, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Очень похоже, что так. Даже так: а чтобы мешало так сделать:)
     
  • 2.55, Аноним, 18:10, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Такого интерфейса в linux не существует, это интерфейс оболочки bash Т е за пре... весь текст скрыт [показать] [показать ветку]
     
  • 1.47, Аноним, 13:43, 04/11/2017 [ответить] [смотреть все]  
  • +1 +/
    "Многого мы еще не знаем"
     
  • 1.59, Аноним, 08:38, 05/11/2017 [ответить] [смотреть все]  
  • –1 +/
    Неужели кто-то ещё верит, что в интернете можно сохранить анонимность Если ... весь текст скрыт [показать]
     
     
  • 2.65, Аноним, 14:47, 05/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так в этом то и смысл Если ресурсы начинают стремиться к плюс бесконечности, же... весь текст скрыт [показать] [показать ветку]
     
  • 2.77, Andrew Kolchoogin, 10:11, 08/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Если будет нужно - найдут.

    Ах, скольких бы убийц и насильников нужно было бы найти...

    Но нет. Не находят.

     
  • 1.67, Аноним, 18:46, 05/11/2017 [ответить] [смотреть все]  
  • +/
    Просто не стоит воспринимать Tor Browser как нечто большее чем смотрелку торосет... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor