Tor Browser Bundle - настройки, вопросы безопасности

  • Автор темы Алексаня Тюрик
  • Дата начала
Алексаня Тюрик

Алексаня Тюрик

Ч0ткий!
Тема по настройкам, новостям и прочим вещам, связанным с TBB.

Скачать можно здесь и здесь (не забудьте выбрать язык).

Главное правило использования: каждая нестандартная настройка повышает риск обнаружения. Mike Perry, главный разработчик TBB, как-то изрек в рассылке:

Mike Perry пишет:
In fact, if we ever see headlines about a Tor user compromised, my money is on it being due to that user having used a custom or obsolete config

Что в вольном переводе звучит как "Ставлю все деньги на то, что если мы и увидим когда-нибудь заголовки об компрометации Tor, то причиной этому будет нестандартная или устаревшая конфигурация". Т.е. все, что нужно неуверенному и неподготовленному пользователю - просто скачать и пользоваться Tor Browser Bundle, не меняя настроек и не устанавливая дополнений. "Продвинутые" же и особо любопытные должны понимать всю ответственность, что они берут на себя, "подгоняя" TBB под свои нужды.
 
Алексаня Тюрик

Алексаня Тюрик

Ч0ткий!
Внимание! Обнаружена серьезная уязвимость Tor Browser Bundle!

Каков бы ни был риск, некоторые нестандартные настройки могут повысить вашу безопасность. Как, например, использование определенных правил и политик фаерволла в *nix помогли бы обезопасить вас от этой серьезной утечки, о которой стало известно недавно:
Firefox security bug (proxy-bypass) in current TBBs

Уязвимость заключается в том, что при соединении со службой websockets (современная технология, использующаяся на некоторых сайтах), DNS-запросы идут мимо SOCKS-прокси (Tor), напрямую на локальный DNS. Практически это означает, что, к примеру, провайдер будет знать, какой именно сайт вы посещали. NB: только адрес, а не передаваемые данные.

Для устранения уязвимости необходимо отключить службу websockets. Для этого наберите в адресной строке "about:config", в появившейся ниже строке поиска наберите "websocket", двойным нажатием на строку "network.websocket.enabled" переведите значение в "false".

Более серьезная заплатка уже подготовлена и вероятно в скором времени будет выпущена новая версия Tor Browser Bundle. Подробнее: багтрекер Tor Project, багтрекер Mozilla.
 
Сверху