Il browser Tor ha corretto un bug che avrebbe potuto consentire l'esecuzione di JavaScript sui siti Web anche quando gli utenti pensano di averlo disabilitato per il massimo anonimato.
Il progetto Tor ha rivelato il problema nel note di rilascio per la versione 9.0.6, suggerendo inizialmente agli utenti di disabilitare manualmente JavaScript per il momento se il problema li ha infastiditi.
Ciò è stato successivamente rivisto dopo che l'estensione NoScript - utilizzata da Tor per controllare l'esecuzione di JavaScript, Java, Flash e altri plugin - è stata aggiornata alla versione 11.0.17.
Se il problema è importante dipende da come gli utenti hanno configurato Tor per trattare JavaScript.
L'impostazione "standard" di Tor abilita JavaScript per impostazione predefinita, che gli utenti possono aggiornare a "più sicuro", che disabilita JavaScript su siti non HTTPS, o "più sicuro", che disabilita completamente JavaScript.
Ogni ambiente ha i suoi pro e contro. Lasciare JavaScript abilitato apre gli utenti al rischio ipotetico che il loro anonimato possa essere compromesso, ad esempio utilizzando una vulnerabilità nel browser Firefox sottostante.
Ci sono state poche segnalazioni di questo avvenimento, ad esempio nel 2013, e di nuovo in 2016 quando Mozilla ha rilasciato una patch per riparare un attacco JavaScript nel mondo reale rivolto a Tor da un governo. D'altra parte, molti siti Web si affidano a JavaScript e disabilitarlo può causare il malfunzionamento o almeno funzionare meno bene.
Il nuovo avviso di aggiornamento è urgente per chiunque utilizzi Tor nell'impostazione "più sicura". In breve, il bug potrebbe in alcune circostanze consentire a JavaScript di continuare a funzionare anche se questa impostazione non lo consente. Le note sulla versione di Tor avvisano che l'estensione normalmente si aggiornerà automaticamente:
Noscript 11.0.17 dovrebbe risolvere questo problema. Gli aggiornamenti automatici di Noscript sono abilitati per impostazione predefinita, quindi dovresti ottenere questa correzione automaticamente.
Perché non usare semplicemente NoScript per inserire nella whitelist JavaScript su siti attendibili, come nel caso di browser non Tor?
Gli utenti non possono farlo in Tor perché farlo potrebbe rendere le cose ancora meno sicure: l'atto di abilitare JavaScript solo su alcuni siti Web potrebbe diventare esso stesso un cookie involontario utilizzato per rilevare le impronte digitali degli utenti mentre si aprono sul Web.
Ciò significa che per chiunque utilizzi Tor, JavaScript è attivato o disattivato senza ambiguità 'a volte ' casa a metà strada.
Le cose potrebbero andare peggio. L'anno scorso, un problema con le firme digitali ha fatto sì che Firefox e Tor smettessero temporaneamente di fidarsi di molti componenti aggiuntivi, incluso NoScript. Incerti su cosa stesse succedendo, gli utenti prudenti che capivano l'importanza di NoScript avevano smesso di usare Tor finché il problema non fosse stato risolto.
Ultimo podcast sulla sicurezza nuda
ASCOLTA ORA
Fai clic e trascina sulle onde sonore in basso per passare a qualsiasi punto del podcast. Puoi anche ascolta direttamente su Soundcloud.
