Возможность блокировать выполнение JavaScript является одним из важных аспектов безопасности Tor Browser. Поэтому для его пользователей весьма тревожно осознать, что этот аспект дал сбой.
На практике браузер, который маскирует реальные IP-адреса и делает все, чтобы сохранить анонимность человека, часто используют для обхода блокировок и цензуры журналисты, политические активисты и диссиденты. Наряду, впрочем, с наркоторговцами и прочими темными личностями.
Разработчики Tor Browser предупредили, что из-за ошибки в некоторых случаях Tor Browser может выполнять код JavaScript на сайтах, где запуск JavaScript был сознательно заблокирован пользователем. Уязвимость была исправлена в воскресенье, 15 марта, путем обновления расширения NoScript (версия 11.0.17). В браузере Tor расширение NoScript получает обновления автоматически, поэтому от пользователей не требуется никаких действий.
Ранее для Tor Browser существовали эксплоиты, которые использовали JavaScript, чтобы выявить реальный IP-адрес пользователя. Некоторые из них использовались правоохранителями (и не только) для разоблачения преступников.
Ошибка содержалась в настройках безопасности Tor Browser Bundle. Даже если браузер настроен на использование самого высокого уровня безопасности (Safest), он по-прежнему разрешает выполнение кода JavaScript в некоторых ситуациях, даже когда по идее должен его блокировать.
Пользователям рекомендуется полностью отказаться от использования JavaScript и отключить его в настройках: about:config -> javascript.enabled -> false.
Читайте также на АКБ:
Цензору на заметку: как недорого уничтожить инфраструктуру Tor
