Az internetes adatvédelemmel foglalkozó Gulyás Gábor és kollégái (Ács Gergely, Claude Castelluccia) tegnap blogbejegyzésben számoltak be egy olyan problémáról a TOR böngészőben (a legutolsó, az 5.0.4-es verzióban), mely épp az anonimitást biztosító böngésző lényegét érinti, ugyanis kiderült, hogy az alapértelmezett beállításokat használva a felhasználók követhetőek maradnak.

A TOR fejlesztői megerősítették a hiba létezését, de javítás egyelőre még nem készült hozzá. Gulyás Gáborék ennek ellenére ismertetik a részleteket, egyrészt azért, mert véleményük szerint a felhasználóknak joguk van erről tudni, másrészt azért, mivel van rá mód, hogy a frissítés megjelenéséig is „be lehessen foltozni” a biztonsági rést.

Védekezés

A weboldalak a felhasználók követésére többféle módszert használnak, az egyik ezek közül a rendszerben megtalálható betűtípusok megvizsgálása, mivel ezek összeállítása egyedi. A TOR fejlesztői tisztában vannak ezzel, így védekeznek is ellene, például korlátozzák a betölthető betűtípusok számát. Ugyanakkor Gulyásék azt találták, hogy ezek az ellenlépések a legutóbbi stabil verzióban még nem működnek, így a felhasználó e módszerrel követhető marad.

A böngésző állapotának tesztelése igen egyszerű: el kell látogatni egy fontokat tartalmazó weboldalra – például erre –, és meg kell nézni, hány típus töltődik be. Ha tíznél több, akkor a böngésző követhető.

A kutatók két módot ajánlanak a korrigáláshoz. Az egyszerűbb és biztosabb, hogy a beállításokban (Settings > Content > Advanced) le kell tiltani a „websites could choose fonts on their own” opciót. A másik megoldás a biztonsági szint legmagasabb fokozatra állítása, de ez nem feltétlenül orvosolja a problémát, emellett jelentősen rontja a böngészés minőségét.