The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.11.2017 21:44  В Tor Browser 7.0.9 устранена уязвимость, раскрывающая реальный IP-адрес

Сформирован корректирующий релиз специализированного браузера Tor Browser 7.0.9, ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая раскрыть информацию об IP-адресе системы пользователя через манипуляцию с открытием ресурсов с использованием схемы "file://", при помощи которой можно инициировать прямое соединение в обход Tor. Уязвимости присвоено кодовое имя TorMoil.

Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке. Детали уязвимости пока не раскрыты публично и доступны только разработчикам браузера (вероятно, проблема сходна с недавно выявленной тем же исследователем уязвимостью при обработке file:// в Safari). Исправление сводится к запрету URL "file://".

Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов).

Кроме того, проект Tor анонсировал введение в строй протокола скрытых сервисов третьего поколения, поддержка которого была реализована в находящейся на стадии альфа-тестирования ветке Tor 0.3.2. Третья версия протокола для onion-сервисов отличается переходом на 56-символьные адреса, более надёжной защитой от утечек данных через серверы директорий, расширяемой модульной структурой и использованием алгоритмов SHA3, ed25519 и curve25519 вместо SHA1, DH и RSA-1024.

  1. Главная ссылка к новости (https://blog.torproject.org/to...)
  2. OpenNews: Обновление web-браузера Tor Browser 7.0.7 с поддержкой sandbox для Linux
  3. OpenNews: Пятый тестовый выпуск системы мгновенного обмена сообщениями от проекта Tor
  4. OpenNews: Стабильный выпуск новой ветки Tor 0.3.1
  5. OpenNews: В Tor Browser устранена уязвимость, допускавшая прямое соединение в обход Tor
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: tor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:53, 03/11/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Даже и не знаю что написать. Это просто какой то позор
     
     
  • 2.2, Аноним999 (ok), 22:56, 03/11/2017 [^] [ответить]    [к модератору]
  • +18 +/
    Позор — это верить в анонимность Tor.
     
     
  • 3.5, Анончик (?), 23:04, 03/11/2017 [^] [ответить]    [к модератору]
  • +12 +/
    Щас тебя за оскорбление чувств анонимуса.
     
  • 3.8, user (??), 23:16, 03/11/2017 [^] [ответить]    [к модератору]
  • +/
    Tor не только для анонимности, но и для негосударственного доступа к негосударственной информации.
     
  • 3.9, AnonPlus (?), 23:36, 03/11/2017 [^] [ответить]    [к модератору]
  • +4 +/
    А при чём тут Tor, если уязвимость в Firefox?
     
     
  • 4.28, Тот_Самый_Анонимус (?), 09:09, 04/11/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Ну так писали бы сами свой браузер. А то как хвастаться — тор, как позориться — так мозилла. Лицемерненько.
     
     
  • 5.36, Аноним (-), 11:09, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Хотя бы раз на torproject org заходил Чего глупости то всякие пишем Torовцы ни... весь текст скрыт [показать]
     
     
  • 6.66, Тот_Самый_Анонимус (?), 16:34, 05/11/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Я о комментарии говорил.
     
  • 3.12, nazarpc (?), 00:45, 04/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Смотря о каком уровне анонимности речь. Сильную анонимность Tor не предоставляет и не декларирует это. А вот слабую анонимность вполне себе предоставляет.
     
     
  • 4.21, Аноним (-), 08:11, 04/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Они сами пишут на сайте, что тор вообще не предназначен для сокрытия активности в интернете. Для обхода блокировок - пожайлуста, но не для анонимности.
     
  • 4.37, Аноним (-), 11:11, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    А что предоставляет "сильную" анонимность? Хочу, очень хочу знать )
     
     
  • 5.62, Аноним (-), 11:32, 05/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > А что предоставляет "сильную" анонимность? Хочу, очень хочу знать )

    Наличие действующего головного мозга, понимание того как работают компьютеры и сети и комплексный подход к проблеме.

     
  • 5.68, Аноним (-), 22:25, 05/11/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Неуловимость Джо То есть работа в АНБ, когда АНБ про тебя и так всё знает, в то... весь текст скрыт [показать]
     
  • 5.75, Andrew Kolchoogin (ok), 10:04, 08/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Любой store-and-forward-метод обмена информацией, состоящий из трёх и более узло... весь текст скрыт [показать]
     
  • 3.14, Аноним (-), 01:35, 04/11/2017 [^] [ответить]    [к модератору]  
  • +11 +/
    Позор - это не отличать Tor от Tor Browser.
     
  • 3.18, Аноним (-), 05:31, 04/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Вам никакой инструмент не поможет сохранить анонимность, если вы им неправильно пользуетесь.
     
     
  • 4.22, Аноним (-), 08:15, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Я тебе по секрету скажу таких не существует в природе Можно только сильно осло... весь текст скрыт [показать]
     
     
  • 5.38, Аноним (-), 11:14, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Свет клином сошелся только на спецслужбах А криминала вообще нет Прапвозащитни... весь текст скрыт [показать]
     
     
  • 6.46, Аноним (-), 12:22, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >Чего хрень то пишем?

    Они по методичке пишут.

     
  • 6.51, Аноним (-), 16:23, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Прапвозащитники, журналисты не погибают на своей работе? Чего хрень то пишем?

    Пример, пожайлуста. И объяснение как им помог тор НЕ погибнуть. НУ?!


     
     
  • 7.54, КО (?), 17:48, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    А чуть-чуть, самую малость, ну хоть немного подумать Я понимаю, что это крайне ... весь текст скрыт [показать]
     
     
  • 8.56, Аноним (-), 19:16, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    https www opennet ru openforum vsluhforumID3 112676 html 46 ... весь текст скрыт [показать]
     
  • 7.61, Аноним (-), 11:18, 05/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Пример, пожайлуста. И объяснение как им помог тор НЕ погибнуть. НУ?!

    Ну вот так. Меньше всяких удаков узнало где они живут. Очень полезно для здоровья, знаете ли.

     
  • 6.74, Аноним (-), 12:18, 07/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Если брать профессионально работающих, то их найти не сложно, т к они по работе... весь текст скрыт [показать]
     
  • 3.60, Аноним (-), 11:17, 05/11/2017 [^] [ответить]    [к модератору]  
  • +/
    >  Позор — это верить в анонимность Tor.

    Как часть комплексного решения - вполне нормально. Но если это единственное что обеспечивает анонимность - дохловато, до первой ошибки или бага.

     
  • 2.7, Аноним (-), 23:13, 03/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    > Даже и не знаю что написать.

    диктую по буквам:
    "никогда не было, и вот, опять!"

     
  • 2.10, Аноним (-), 23:43, 03/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Позор что не используешь sandboxed-tor-browser!
    В курсе хоть что это???
     
  • 1.3, AntonAlekseevich (ok), 22:59, 03/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Атака может быть реализована на платформах Linux и macOS и требует, чтобы пользователь кликнул по подготовленной атакующим ссылке.

    Пока не так всё и плохо. Я думал будет хуже.

     
     
  • 2.6, тоже Аноним (ok), 23:12, 03/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Согласен, если бы она проявлялась под окошками, ее бы реально взяли на вооружение все подряд.
    А так - не факт, что она вообще эксплуатировалась.
     
  • 2.16, Агроном (?), 03:37, 04/11/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    А что мешает кликнуть жабаскриптом ... весь текст скрыт [показать]
     
     
  • 3.23, Аноним (-), 08:16, 04/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Тем что сторонние жаба скрипты блокируются?
     
     
  • 4.27, AntonAlekseevich (ok), 08:51, 04/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Если вы не сказали No-Script разрешить все скрипты.
     
     
  • 5.30, Аноним (-), 10:22, 04/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > Если вы не сказали No-Script разрешить все скрипты.

    Какой идиот это будет делать в торе?

     
     
  • 6.49, user (??), 15:43, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    В Гитхабе и Википедии не всё работает без скриптов.
     
     
  • 7.52, Аноним (-), 16:23, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > В Гитхабе и Википедии не всё работает без скриптов.

    Зачем это делать через тор? И что мешает включить только некоторые скрипты?

     
     
  • 8.53, user (??), 16:31, 04/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    https://en.wikipedia.org/wiki/Censorship_of_GitHub
    https://en.wikipedia.org/wiki/Censorship_of_Wikipedia
     
  • 7.69, Аноним (-), 22:27, 05/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > В Гитхабе и Википедии не всё работает без скриптов.

    Википедия прекрасно работает без скриптов.

     
  • 6.78, Битмап (?), 18:36, 08/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Если вы не сказали No-Script разрешить все скрипты.
    > Какой идиот это будет делать в торе?

    Я это буду делать в Торе.
    Чтобы порыться на Рутрекере.
    Рутрекер не дает залогониться без JS.

     
     
  • 7.79, Битмап (?), 18:42, 08/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Глобально, конечно No-Script останется действующим, но на Рутрекере JS включу.
     
  • 1.11, Аноним (-), 00:12, 04/11/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +3 +/
    Мне кажется, полагаться на надёжность обеспечения анонимности путём только лишь ... весь текст скрыт [показать]
     
     
  • 2.13, Аноним (-), 01:09, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Так то оно конечно так, но причем здесь ТВ?
     
     
  • 3.15, Аноним (-), 02:26, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    В TB сетевая изоляция осуществляется именно на этом уровне. Открываешь из него во внешней программе любой ссылающийся на сетевые ресурсы документ — и ты спалился.
     
     
  • 4.17, Онаним (?), 04:38, 04/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    А нефиг открывать через браузер внешние программы.
     
     
  • 5.19, Аноним (-), 06:25, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Какая разница, через браузер или через файловый менеджер? Хочешь сказать, нельзя вообще файлы из интернета открывать?
    Качаешь, например, будто бы mp3-файл, а там внутри плейлист с http-ссылкой.
     
     
  • 6.24, Аноним (-), 08:18, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > а там внутри плейлист с http-ссылкой...

    ...который не читается твоим плеером. FAIL
    И куча мусора туда тоже вставленно? Я бы не доверял mp3 файлу в несколько килобайт.

     
     
  • 7.48, Аноним84701 (ok), 14:35, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Вообще-то CODE mpv test mp3 ... весь текст скрыт [показать]
     
  • 6.39, Аноним (-), 11:18, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Потому что перед тем как пользоваться чем то, нужно читать руководства для польз... весь текст скрыт [показать]
     
     
  • 7.57, Аноним (-), 19:37, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    https www opennet ru openforum vsluhforumID3 109882 html 31 ... весь текст скрыт [показать]
     
     
  • 8.64, Аноним (-), 11:55, 05/11/2017 [^] [ответить]    [к модератору]  
  • +/
    sandboxed-tor-browser
     
  • 6.63, Аноним (-), 11:40, 05/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Открывай на отдельной виртуалочке без сети Софт хрен оспорит, разве что AI прит... весь текст скрыт [показать]
     
  • 4.76, Andrew Kolchoogin (ok), 10:08, 08/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Не надо так делать Афтары же пишут -- если вам надо открыть документ, выкачанны... весь текст скрыт [показать]
     
  • 1.20, Аноним (-), 07:14, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Достали уже с этими "кодовыми именами". Надеюсь, на этот раз сайт отдельный на тему не нарисовали хоть?
     
     
  • 2.31, Аноним (-), 11:03, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Достали уже с этими "кодовыми именами". Надеюсь, на этот раз сайт отдельный
    > на тему не нарисовали хоть?

    Какие кодовые имена? Какой сайт?

     
     
  • 3.73, Аноним (-), 08:01, 07/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Уязвимости присвоено кодовое имя TorMoil
     
  • 1.26, Аноним (-), 08:40, 04/11/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    че за вайн-то из тут сидящих кто-нибудь когда-нибудь кликал по file в то... весь текст скрыт [показать]
     
     
  • 2.29, Алёнушка (?), 09:12, 04/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Нельзя выходить!Опасно!
     
  • 2.33, Аноним (-), 11:04, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Баги и уязвимости в башке Куда не ходи всегда с собой ... весь текст скрыт [показать]
     
  • 1.32, Аноним (-), 11:04, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    я так понимаю, вычислять они будут по ip 192.168.1.123?
     
     
  • 2.34, Аноним (-), 11:05, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > я так понимаю, вычислять они будут по ip 192.168.1.123?

    Просто вычислять. Без всяких IP

     
  • 2.35, Аноним (-), 11:08, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    "можно инициировать прямое соединение в обход Tor" - засветится реальный IP транслятора адресов.
     
     
  • 3.41, Аноним (-), 11:20, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > "можно инициировать прямое соединение в обход Tor" - засветится реальный IP транслятора
    > адресов.

    Зачем? Провести атаку или самостоятельно выстрелить себе в ногу? Цель то какая?

     
  • 3.43, anonimus (?), 11:31, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Ага, прямое соединение по file:// . никуда ты по нему не выйдешь.
     
  • 1.40, gumanzoy (?), 11:19, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Так можно MAC узнать file:///sys/class/net/eth0/address

    правда придется перебирать все варианты кроме eth0

     
     
  • 2.42, Аноним (-), 11:21, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Так можно MAC узнать file:///sys/class/net/eth0/address
    > правда придется перебирать все варианты кроме eth0

    Кто это будет делать за вашим ПК?

     
  • 1.44, Zenitur (ok), 12:08, 04/11/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    Пособие для начинающих Штирлицев Винда не видит второй раздел флешки Покупаем ... весь текст скрыт [показать]
     
     
  • 2.72, Аноним123 (?), 17:23, 06/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Спасибо /b/рат! Пили прохладую.
     
  • 1.45, Аноним (-), 12:09, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А это случайно не про /dev/tcp/host/port речь?
     
     
  • 2.50, Аноним (-), 15:56, 04/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Очень похоже, что так. Даже так: а чтобы мешало так сделать:)
     
  • 2.55, Аноним (-), 18:10, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Такого интерфейса в linux не существует, это интерфейс оболочки bash. Т.е за пределами bash, в т.ч. в том же браузере, оно работать не будет.
     
  • 1.47, Аноним (-), 13:43, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    "Многого мы еще не знаем"
     
  • 1.59, Аноним (-), 08:38, 05/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Неужели кто-то ещё верит, что в интернете можно сохранить анонимность?.... Если будет нужно - найдут. Вопрос лишь в ресурсах и том, кому это нужно
     
     
  • 2.65, Аноним (-), 14:47, 05/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Вопрос лишь в ресурсах и том, кому это нужно

    Так в этом то и смысл. Если ресурсы начинают стремиться к плюс бесконечности, желающих их потратить окажется немного. В идеале - ноль.

     
  • 2.77, Andrew Kolchoogin (ok), 10:11, 08/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Если будет нужно - найдут.

    Ах, скольких бы убийц и насильников нужно было бы найти...

    Но нет. Не находят.

     
  • 1.67, Аноним (-), 18:46, 05/11/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Просто не стоит воспринимать Tor Browser как нечто большее чем смотрелку торосет... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor