Из-за ошибки Tor Browser не блокировал — а запускал JavaScript

Опубликовано at 16.03.2020
132 0

Возможность блокировать выполнение JavaScript является одним из важных аспектов безопасности Tor Browser. Поэтому для его пользователей весьма тревожно осознать, что этот аспект дал сбой.

На практике браузер, который маскирует реальные IP-адреса и делает все, чтобы сохранить анонимность человека, часто используют для обхода блокировок и цензуры журналисты, политические активисты и диссиденты. Наряду, впрочем, с наркоторговцами и прочими темными личностями.

Разработчики Tor Browser  предупредили, что из-за ошибки в некоторых случаях Tor Browser может выполнять код JavaScript на сайтах, где запуск JavaScript был сознательно заблокирован пользователем. Уязвимость была исправлена в воскресенье, 15 марта, путем обновления расширения NoScript (версия 11.0.17). В браузере Tor расширение NoScript получает обновления автоматически, поэтому от пользователей не требуется никаких действий.

Ранее для Tor Browser существовали эксплоиты, которые использовали JavaScript, чтобы выявить реальный IP-адрес пользователя. Некоторые из них использовались правоохранителями (и не только) для разоблачения преступников.

Ошибка содержалась в настройках безопасности Tor Browser Bundle. Даже если браузер настроен на использование самого высокого уровня безопасности (Safest), он по-прежнему разрешает выполнение кода JavaScript в некоторых ситуациях, даже когда по идее должен его блокировать.

Пользователям рекомендуется полностью отказаться от использования JavaScript и отключить его в настройках: about:config -> javascript.enabled -> false.

Читайте также на АКБ:

Цензору на заметку: как недорого уничтожить инфраструктуру Tor

Подписываемся, следим @CyberAgency

Related Post

Новый вирус подписывает владельцев Android на платные SMS-рассылки

Опубликовано - 02.03.2018 0
Британская компания Wandera, специализирующаяся в области кибербезопасности мобильных устройств, обнаружила новый вирус RedDrop, который может быть встроен в некоторые приложения.…