Разработчиками анонимной сети Tor обнаружен (https://lists.torproject.org/pipermail/tor-talk/2016-Novembe...) вредоносный JavaScript-код, активно используемый для атаки на пользователей Tor Browser. Атака производится через эксплуатацию ещё неисправленной (0-day) уязвимости, позволяющей получить контроль за системой пользователя TorBrowser, в том числе выполнить свой код и осуществить деанонимизацию пользователя.Уязвимость также присутствует в кодовой базе Firefox и подтверждена (https://lists.torproject.org/pipermail/tor-talk/2016-Novembe...) разработчиками Mozilla, которые занимаются подготовкой внепланового экстренного обновления. Опубликованный пример эксплоита (https://lists.torproject.org/pipermail/tor-talk/2016-Novembe...) поражает только системы Windows, но после небольшой модификации эксплоит может применяться (https://twitter.com/csoghoian/status/803728414012215297) и для атаки на другие ОС.
До выхода обновления пользователям Tor Browser рекомендуется применить NoScript для временной блокировки выполнения JavaScript на не заслуживающих доверия сайтах. На надёжных сайтах можно ограничиться блокировкой сторонних JavaScript-блоков, загружаемых с внешних источников (реклама, аналитика, счётчики, виджеты социальных сетей и т.п.). Для защиты анонимности следует избегать запуска Tor Browser в основной системе или в окружении, имеющем прямое подключение к сети. В случае взлома браузера, даже при использовании Live-окружения Tails, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать многоуровневые системы, например, дистрибутив Whonix (https://www.opennet.ru/opennews/art.shtml?num=42115).
URL: https://www.reddit.com/r/netsec/comments/5flxk8/firefoxtor_b.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=45588
Пф, на работу tor-службы и socks5 proxy(не для http) оно не олияет? Тогда пофиг. От от JS надо вообще отказаться, кроме проблем он ничего не создает.
>Пф, на работу tor-службы и socks5 proxy(не для http) оно не олияет?не влияет, уязвимость вообще к tor имеет посредственное отношение
А можно просто не пользоваться firefox
Можно, но в других браузерах уязвимости тоже случаются.
Причем они меньше подходят для Тор.
Торпроджект хоть ищет дыры и пытается лотать.
А так будете один на один с браузером и его производителем.
Да, благодаря Тору в Фаерфоксе выявляется больше уязвимостей.
Но firefox ведь единственный браузер на 2016 год.
Можно, но аналогов то нет.
Что мешает в настройках соединения указать 127.0.0.1:9050, любого приложения, которое может работать с SOCKS5 ?
Совет как покончить жизнь самоубийством.
Вы бы хоть ознакомились с ТВ.
Почитали бы про него.И больше не давайте таких советов никому.
А можно просто не использовать JS
А запретить JS лишний раз вообще не вредно. Даже без загрузки кода JS может собрать достаточно конкретное досье. В Tor browser это вроде бы частично починили но JS умеет столько всего что там "возить вам не перевозить!"
Вообще не понимаю зачем в Tor включать JS.
Потому что полинтернета - это нехорошо.
Хрен чего будешь видеть.
Им кто-то пользуется, в смысле не "один раз в месяц, чтобы на торрент зайти" а так чтобы каждый день, постоянно ?
Я его и вы закрываю. Смысл? Весь трафик через тор, даже десяток нод поднял на разных VPS.
> Я его и вы закрываю. Смысл? Весь трафик через тор, даже десяток
> нод поднял на разных VPS.Хм. Достойно.
Релай же? Экзиты накрывают частенько медным тазом.
Там обуз может быть много.
Самое безопасное в датацентрах ставить.
> Хм. Достойно.
> Релай же? Экзиты накрывают частенько медным тазом.
> Там обуз может быть много.
> Самое безопасное в датацентрах ставить.Самое безопасное -- организовываться "кружками по интересам", т.е. некоммерческие организации
(Swiss Privacy Foundation, CCC, SaveYourPrivacy и т.д.).
https://www.torservers.net/
=>
https://www.dfri.se/?lang=en
https://www.privacyfoundation.ch/
https://www.zwiebelfreunde.de/
https://effi.org/
...Эффективнее в соотношении "вложенные средства/результат" и, если что (хотя это, насколько я в курсе, основная причина) – отвечает юридическое лицо, причем -- при нормальной юридической и СМИ поддержке и прочими плюшками таких вот объединений.
Да и просто абузить ноды какой-никакой организации и частного лица -- две большие разницы, тем более когда нет нужды поднимать ноду в Запопинске.
Без Whonix в сеть ни ногой!
Есть и аналоги.
Можно попробовать запихнуть ТВ в песочницу.
К концу года, вкладки в ТВ будут в песочницах.
Ждемс..
Ау, надежные сайты!
Мы идем к вам..
Люди занимаются"Thanks. I pointed some folks on irc to this mail, and Daniel Veditz (Mozilla Security Team) said "the Firefox team was sent a copy of that this morning. We've found the bug being used and are working on a patch."
So it sounds like the immediate next step is that Mozilla finishes their patch for it; then the step after that is a quick Tor Browser update. And somewhere in there people will look at the bug and see whether they think it really does apply to Tor Browser."
Вроде починили
6.0.7
JS - зло.
И особенно удивляют разрабы, активно пихающие его в примитивные страницы, задача которых - показать пару абзацев текста с картинкой.
Пользуйтесь Tor Browser hardened, уверен эксплоит не сработает.
Забыли предупредить:
Для Линукс х64