Tor项目在给Privacyguides的声明中表示,其已意识到此问题,并正在跟踪和积极解决。除了重启提示之外,Tor项目还在探索对安全级别系统进行更广泛的改进。
根据Privacyguides.org向Tor浏览器用户发出的警告,在不重启Tor浏览器的情况下切换安全级别,可能会使用户面临更高的指纹识别和漏洞利用风险。
Privacyguides表示,这是访问暗网的用户应该关注的一个安全问题,在Tor浏览器和Mullvad浏览器的“安全级别滑块“功能中存在的一个漏洞:在浏览器完全重启之前,浏览器宣传的所有保护措施并非都能正确启用。
Privacyguides社区的一位成员匿名报告了这个漏洞,Privacyguides已通过macOS上最新的Tor浏览器14.5.1版本以及Mullvad浏览器14.5.1版本确认了此漏洞。对于在Tor浏览器中完全应用安全设置之前是否需要采取额外操作,目前找不到任何文档或者相关GitLab提示,并且Tor浏览器的文档也没有指出需要重启,也没有提示用户在进行安全更改后需重启浏览器。
因此,对于那些为了保护自己免受浏览器漏洞攻击而在浏览过程中从”标准安全“设置切换到”更安全“设置的用户来说,这会带来很高的风险。
JavaScript测试
用户可以在自己的Tor浏览器中运行JavaScript基准测试(例如JetStream 2.2)来轻松演示其效果。这些基准测试依赖于一种名为即时(JIT)编译的技术来提升性能,但JIT与现代Web浏览器中的众多安全漏洞相关。“更安全”安全级别通常会完全禁用JIT以防止这些问题,但是,当用户将Tor浏览器切换到”更安全“级别(未重启Tor浏览器)并再次运行基准测试时,几乎不会看到任何性能影响,数值相差并不大(196与191)。”暗网下/AWX“在本地进行了测试,数值显示126。
虽然这两次运行的性能几乎相同,但在重新启动Tor浏览器并重新运行测试后,我们看到性能结果大幅下降(数值变为33),这与在正确禁用JIT的情况下所预期的结果一致。所以,这清楚地表明,在Tor浏览器重新启动之前,在安全模式下应该禁用的JavaScript技术仍然可以被网站访问,如果用户不了解保护自身安全所需的额外步骤,则可能会面临浏览器漏洞的威胁。
”最安全“模式(Safest Mode)
目前尚未测试或验证所有需要重启浏览器的安全功能。虽然测试了切换到“更安全”模式后JIT是否仍然启用,因为这是最容易测试的功能。而“最安全”模式会完全禁用JavaScript,因此上述演示无法证明切换到“最安全”模式后仍存在此问题。
但是,其他一些通常被“最安全”模式禁用的功能可能会一直处于启用状态,直到用户重新启动浏览器为止。出于谨慎考虑,Privacyguides建议用户在更改此设置后务必重新启动浏览器,无论用户是切换到“更安全”模式还是“最安全”模式。
Privacyguides认为,虽然Tor项目宣传安全滑块可以方便地调整Tor浏览器提供的保护,但并未注明确保这些设置真正生效所需的额外步骤。从测试看来,如需确保用户的安全,在调整Tor浏览器的安全设置后务必彻底重启Tor浏览器。Privacyguides希望Tor浏览器在未来的更新中调整这些设置后能够提示或强制用户重新启动浏览器。
Tor项目给Privacyguides的声明
Tor项目在给Privacyguides的声明中表示,其已意识到此问题,并正在跟踪和积极解决。感兴趣的用户可以关注此处的讨论和进展:https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/42572。
除了重启提示之外,Tor项目还在探索对安全级别系统进行更广泛的改进,包括使其与Tor浏览器更新的威胁模型更加紧密地协调一致,并可能将更多后端委托给NoScript以增加灵活性。这些改进可能会成为即将到来的Tor浏览器15.0版本发布周期的一部分。
Anwangxia.com原创文章,作者:anwangxia,如若转载,请注明出处:https://www.anwangxia.com/4095.html
比特币捐赠
相关推荐
-
浏览暗网的快速指南
在暗网中寻找自己的方式包括只看搜索引擎和目录,基本上浏览,直到找到自己想要的东西为止。每个人都会有自己不同的兴趣爱好,所以送你一个特定的方向是没有意义的。
-
为您的暗网洋葱onion域名配置TLS证书
现在可以通过Harica购买onion域名的HTTPS证书,本文介绍了购买配置的方法。
-
请注意,境内苹果手机IOS系统将无法直接访问暗网
Orbot其实就是一个VPN,所以由于众所周知的原因,Orbot在境内无法访问。但是“Onion Browser”却依赖Orbot开启前置连接后,才能使用。因此在境内“Onion Browser”再也无法使用。
-
教你畅游暗网,但暗网不是个好地方
暗网网站, 数量在几万左右,不时关闭,不时开启,有违法色情,毒品与枪支的交易,当然还有FBI的钓鱼网站。这也是大家所熟知的。
-
暗网下常用的端对端加密聊天协议Tox,基于Tox协议的客户端软件介绍
Tox是一个免费的点对点即时消息传递和视频电话网络协议,可实现加密数据交换。该项目的目标是创建一个安全且易于使用的通信平台。Tox与Tor的结合,可以实现在暗网下完全匿名点对点通信。