Risultati da 1 a 3 di 3

Discussione: Bug di Tor su Firefox

  1. #1

    Predefinito Bug di Tor su Firefox

    Maledizione!


    Firefox ha una relazione complicata con TOR

    Un baco nell'implementazione del protocollo a cipolla. Si rischia la fine dell'anonimato. E ci sono anche estensioni "pirata" che fanno i propri comodi con la connessione altrui

    Roma - Il Web pu essere un posto pericoloso, ma quando il pericolo arriva da un baco nell'implementazione di Tor in Firefox il rischio riguarda la privacy e la riservatezza online. Il baco in questione stato individuato in Tor Browser Bundle (TBB), versione "tutto compreso" del browser open source abilitato alla navigazione anonima attraverso la rete a cipolla e i siti .onion.

    Le versioni recenti di TBB per Windows, OSX e Linux sono tutte affette dal problema: quando il browser viene spinto a usare il protocollo WebSocket, la richiesta di risoluzione al DNS non passa attraverso la rete di Tor ma viene spedita "in chiaro". Il risultato che l'anonimato che Tor dovrebbe difendere viene annullato e l'indirizzo IP dell'utente torna a essere potenzialmente visibile a occhi esterni. In attesa della disponibilit di una nuova versione di TBB mondata dal problema, gli utenti del pacchetto anonimizzatore possono disabilitare WebSocket per evitare di incappare nel baco.

    Non esiste invece soluzione al problema delle estensioni per Firefox "infedeli", che surrettiziamente o meno abusano della connessione dell'utente per scopi molto diversi da quelli indicati.Una di queste estensioni infedeli scoperte di recente ad esempio ShowIP, popolare addon per l'identificazione dell'indirizzo IP di un sito visitato che apparentemente invia di nascosto le abitudini di navigazione dell'utente a un sito tedesco specializzato in marketing telematico.

    Ancor pi inquietante il comportamento di una estensione "rogue" scoperta dalla societ di sicurezza StopMalvertising, che si camuffa come update da installare per Adobe Flash e prende poi ad abusare la sessione del browser forzando la visita di URL aggiuntivi oltre a quelli visitati "in chiaro" dall'utente.

    Contro questi e altri problemi i coder Mozilla spingo per l'adozione del "click-to-play", vale a dire l'attivazione manuale dei plugin e componenti aggiuntivi come il summenzionato Flash al posto del caricamento automatico all'avvio del browser. Sar la soluzione giusta? Forse no, visto che gli attacchi pi recenti fanno largo impiego dell'ingegneria sociale e il click-to-play potrebbe semplicemente limitarsi a ritardare la loro efficacia nel colpire l'utente.

    Alfonso Maruccia
    Herbalist, high grade specialist...

  2. #2
    Old Sage Member L'avatar di drlecter
    Data Registrazione
    Sep 2010
    Messaggi
    6,926
    Potere Reputazione
    27

    Predefinito

    oggi e' uscito il nuovo aggiornamento di tor browser a distanza di appena 4 giorni. Non so se hanno risolto ma il mio IP viene localizzato ora in UK ora in Cina, boh.


    @drlecter44

  3. #3

    Predefinito

    Il problema non era l'ip, quanto il fatto che c'era un buco nella sicurezza nel momento di risolvere l'indirizzo. Comunque ottimo se č giā stato fixato :)
    Herbalist, high grade specialist...

Tag per Questa Discussione

Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •