Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Une faille dans Firefox permet de trouver l'identité réelle d'utilisateurs Tor


#1

Originally published at: http://korben.info/faille-firefox-permet-de-trouver-lidentite-reelle-dutilisateurs-tor.html

Attention, si vous utilisez Tor avec le navigateur Firefox (Le fameux Tor Browser). Un admin du service de mail Sigaint a publié sur la mailing list de Tor, un exploit utilisé activement en ce moment, qui permet d’exécuter du code malicieux sur un Windows. L’exploit composé d’un fichier HTML et d’un fichier CSS permet d’obtenir un…


#2

en même temps, utiliser TOR avec JavaScript activé…


#3

En même temps, utiliser TOR sur windows …

Si vous voulez utiliser TOR, le minimum c’est de se servir de TAILS: http://tails.boum.org/


#4

Il y a peut être un lien avec la mise à jour 50.0.1 de Firefox parue hier? Je n’arrive pas à accéder à la release note, j’ai une erreur 504 de Cloudflare.


#5

La release note parle de correction de bug sans préciser si une faille est concernée.


#6

Donc les utilisateurs de Linux ou Mac OS ne seraient pas concernés ? En même temps, utiliser le Tor Browser sous Windows…bof…


#7

Une bonne règle d’usage est d’utiliser tor avec Javascript désactivé.


#8

https://blog.torproject.org/blog/tor-browser-607-released

Ils n’ont pas tardé pour corriger la faille, c’est cool.


#9

La soit disant faille est bien étrange… Ça sent la truffe cette info…

  1. le code présenté n’est pas valide…
  2. Au bout de 2 secondes, la page renvoie vers member.php
  3. Si la page renvoie vers member.php cela veut dire que les infos ne sont pas sauvegardés (bah oui, le protocol http n’a aucune mémoire)
  4. je ne lis pas de requête xhr…
  5. Je ne lis pas de localstorage ni d’initalisation de cookie…

#10

Subgraph OS avec Tor…


#11

Tor browser a été patché 2 jours après l’annonce de la faille. Elle était bien réelle.

The security flaw responsible for this urgent release is already actively exploited on Windows systems. Even though there is currently, to the best of our knowledge, no similar exploit for OS X or Linux users available the underlying bug affects those platforms as well. Thus we strongly recommend that all users apply the update to their Tor Browser immediately.