Пару недель назад проект Tor объявил о серьезной ошибке в браузере Tor, которая может привести к выполнению кода JavaScript на сайтах, для которых пользователи специально заблокировали JavaScript.
Команда разработчиков Tor Project объявила, что она уже работает над исправлением, и теперь она выпустила Tor Browser 9.0.7, который окончательно решает проблему.
Функция, которая предотвращает выполнение кода JavaScript на определенных сайтах, важна для дружественного к конфиденциальности браузера Tor, который использует его для предотвращения онлайн-наблюдения. Вредоносные коды JavaScrip могут раскрыть реальные IP-адреса пользователей Tor, если они будут выполнены. Подобные сценарии также использовались в расследованиях, проводимых правоохранительными органами. В 2013 году ФБР признало нападение на Freedom Hosting, вероятно, самую популярную компанию по поиску скрытых сервисов Tor в то время.
Недостаток, с которым сталкивается проект Tor, существует в вариантах обеспечения безопасности TBB. Ошибка вызывает выполнение кода JavaScript, даже когда браузер был настроен на использование самого высокого уровня безопасности.
Код JavaScript можно использовать для снятия отпечатков пальцев или снятия масок с пользователей Tor.
Последняя версия, выпущенная Tor Project, по умолчанию отключает любой код JavaScript на сайтах, отличных от HTTPS, которые посещают пользователи, которые установили уровень безопасности Safest. Это изменение может повлиять на рабочий процесс пользователей, если они ранее разрешали Javascript на некоторых сайтах с использованием NoScript
«Этот релиз отключает Javascript для всего браузера, когда выбран самый безопасный уровень. Это может привести к серьезным изменениям в вашем рабочем процессе, если вы ранее разрешали использование Javascript на некоторых сайтах с использованием NoScript. », - говорится в пресс-релизе, опубликованном проектом Tor. «Пока вы в « Безопасном », вы можете восстановить предыдущее поведение и разрешить Javascript следующим образом:
Открыть: конфигурации
Искать: javascript.enabled
Столбец «Значение» должен показывать «ложь»
Либо: щелкните правой кнопкой мыши и выберите «Переключить», чтобы он был отключен или дважды нажмите на строку, и она будет отключена ».
Эта мера предосторожности будет применяться до тех пор, пока последние версии NoScript не будут блокировать выполнение Javascript по умолчанию, обходя уязвимость Firefox ESR.
Дополнительные статьи по теме:
Работа на дому: как настроить VPN
Роскомнадзор заблокировал службу Tutanota в России, чтобы остановить зашифрованную связь!
Предупреждение: Вся информация представлена исключительно в образовательных целях.