Trình duyệt Tor đã sửa một lỗi có thể cho phép JavaScript thực thi trên các trang web ngay cả khi người dùng nghĩ rằng họ đã tắt nó để ẩn danh tối đa
Dự án Tor đã tiết lộ sự cố trong ghi chú phát hành cho phiên bản 9. 0. 6, ban đầu đề xuất người dùng tạm thời tắt JavaScript theo cách thủ công nếu sự cố làm phiền họ
Điều đó sau đó đã được sửa đổi sau khi tiện ích mở rộng NoScript - được Tor sử dụng để kiểm soát việc thực thi JavaScript, Java, Flash và các plugin khác - được cập nhật lên phiên bản 11. 0. 17
Vấn đề có quan trọng hay không tùy thuộc vào cách người dùng đã định cấu hình Tor để xử lý JavaScript
Theo mặc định, cài đặt 'chuẩn' của Tor đã bật JavaScript, người dùng có thể nâng cấp lên 'an toàn hơn', tắt JavaScript trên các trang web không phải HTTPS hoặc 'an toàn nhất', tắt hoàn toàn JavaScript
Mỗi cài đặt đều có ưu và nhược điểm. Việc bật JavaScript sẽ mở ra cho người dùng rủi ro giả định rằng tính ẩn danh của họ có thể bị xâm phạm, chẳng hạn như sử dụng lỗ hổng trong trình duyệt Firefox cơ bản
Đã có một số báo cáo về việc này xảy ra, chẳng hạn như vào năm 2013 và một lần nữa vào năm 2016 khi Mozilla phát hành một bản vá để khắc phục một cuộc tấn công JavaScript trong thế giới thực nhằm vào Tor của chính phủ. Mặt khác, nhiều trang web dựa vào JavaScript và việc vô hiệu hóa nó có thể khiến chúng bị hỏng hoặc ít nhất là hoạt động kém hơn
Tìm kiếm, phát hiện và phản hồi mối đe dọa 24/7 được cung cấp bởi một nhóm chuyên gia dưới dạng dịch vụ được quản lý hoàn toàn
Tìm hiểu thêm
Cảnh báo nâng cấp mới là khẩn cấp đối với bất kỳ ai sử dụng Tor trong cài đặt 'an toàn nhất'. Tóm lại, trong một số trường hợp, lỗi có thể cho phép JavaScript tiếp tục hoạt động mặc dù cài đặt này không cho phép điều đó. Ghi chú phát hành Tor khuyên rằng tiện ích mở rộng thường sẽ tự động cập nhật
Số 11. 0. 17 nên giải quyết vấn đề này. Cập nhật tự động của Noscript được bật theo mặc định, vì vậy bạn sẽ tự động sửa lỗi này
Tại sao không chỉ sử dụng NoScript để đưa JavaScript vào danh sách trắng trên các trang web đáng tin cậy, như trường hợp được sử dụng với các trình duyệt không phải Tor?
Người dùng không thể làm điều này trong Tor vì làm như vậy có thể khiến mọi thứ trở nên kém an toàn hơn – bản thân hành động chỉ bật JavaScript trên một số trang web có thể trở thành một cookie vô tình được sử dụng để lấy dấu vân tay của người dùng khi họ xuất hiện trên web
Điều đó có nghĩa là đối với tất cả mọi người sử dụng Tor, JavaScript được bật hoặc tắt mà không có dấu hiệu 'đôi khi' mơ hồ giữa chừng
Mọi thứ có thể tồi tệ hơn. Năm ngoái, một vấn đề với chữ ký điện tử đã khiến Firefox và Tor tạm thời ngừng tin tưởng nhiều tiện ích bổ sung, bao gồm cả NoScript. Không chắc chắn về những gì đang xảy ra, những người dùng thận trọng hiểu tầm quan trọng của NoScript đã ngừng sử dụng Tor cho đến khi sự cố được khắc phục
Podcast bảo mật khỏa thân mới nhất
NGHE NÈ
Nhấp và kéo vào sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào trong podcast. Bạn cũng có thể nghe trực tiếp trên Soundcloud
Có một số lỗ hổng đã biết, đã được sử dụng để hủy bỏ ẩn danh người dùng Tor thông qua việc tận dụng JavaScript
Sự cố lớn đầu tiên mà điều này xảy ra là với vụ tịch thu "Freedom Hosting" của FBI. FBI đã giữ các máy chủ trực tuyến và sau đó cài đặt các thanh toán javascript khai thác lỗ hổng zero-day trong Firefox. Điều này khiến các máy tính gọi lại máy chủ FBI từ IP thực, không ẩn danh của chúng, dẫn đến việc hủy bỏ tên của nhiều người dùng. Bạn có thể đọc thêm về nó trong Ars Technica
Nói chung, việc bật JavaScript sẽ mở ra diện tích bề mặt cho nhiều cuộc tấn công tiềm năng hơn đối với trình duyệt web. Trong trường hợp đối thủ nghiêm trọng như một thực thể được nhà nước hậu thuẫn [e. g. FBI], họ có quyền truy cập vào khai thác zero-day. Nếu các vectơ cho những ngày không này bị vô hiệu hóa [e. g. JavaScript], thì họ có thể khó tìm được cách khai thác khả thi ngay cả khi họ có quyền truy cập vào 0 ngày, v.v.
Lý do duy nhất mà dự án Tor cho phép bật JavaScript theo mặc định trong trình duyệt Tor là khả năng sử dụng. Nhiều người dùng Tor không hiểu biết về kỹ thuật và JavaScript thường được sử dụng với HTML5 trong các trang web hiện đại. Vô hiệu hóa JavaScript khiến nhiều trang web không sử dụng được, vì vậy nó được bật theo mặc định
Cách tốt nhất là bạn nên tắt JavaScript trong trình duyệt Tor và bật NoScript cho tất cả các trang web, trừ khi bạn có lý do cực kỳ thuyết phục để không
Mức độ phổ biến của Trình duyệt Tor đã tăng lên rất nhanh trong thời gian qua. Ban đầu nó được Phòng thí nghiệm Nghiên cứu Hải quân Hoa Kỳ phát triển vào giữa những năm 1990 để cho phép các quan chức chính phủ liên lạc một cách ẩn danh và an toàn
Ngày nay, hầu hết mọi người có xu hướng sử dụng Trình duyệt Tor vì nó cho phép họ tự do giữ quyền riêng tư và ẩn danh trên internet
Tor là gì?
Trình duyệt Tor còn được gọi với cái tên khác là Onion router và là một Flagship/sản phẩm quan trọng của dự án Tor
Một nhóm các nhà phát triển và một số tình nguyện viên Trình duyệt Tor đã quản lý thành công để tạo trình duyệt bằng cách sửa đổi phiên bản trình duyệt web Mozilla Firefox cho phép người dùng duyệt Internet ẩn danh
Nó liên quan đến một số chuyển tiếp tình nguyện trong đó lưu lượng truy cập Internet bị trả lại và đảm bảo rằng người dùng không bị theo dõi. Sau khi người dùng hoàn tất việc lướt web, Trình duyệt Tor tự chấm dứt phiên bằng cách xóa hoặc vô hiệu hóa một loạt dữ liệu bí mật như lịch sử người dùng, cookie HTTP, v.v.
Trình duyệt Tor cũng rất nổi tiếng với khả năng cho phép người dùng truy cập vào các trang Deep Web và Dark Web mà người dùng không thể sử dụng với các trình duyệt phổ biến như Firefox, Chrome.
Tại sao cần phải tắt JavaScript trong trình duyệt tor?
JavaScript bắt buộc phải tắt trong trình duyệt Tor vì nhiều lý do bảo mật. Vào năm 2013, người ta đã phát hiện ra rằng nhiều phiên bản trước đó của trình duyệt Tor dễ bị tấn công bằng JavaScript vì JavaScript cung cấp cho kẻ tấn công/tin tặc một cửa hậu cố gắng theo dõi người dùng bằng cách sử dụng chi tiết phiên được cung cấp của họ
Làm cách nào để tắt JavaScript trong trình duyệt Tor?
Để tắt JavaScript trong Trình duyệt Tor, hãy làm theo các bước sau
1. Mở trình duyệt tor bằng cách nhấp đúp vào biểu tượng của nó
2. Bây giờ hãy tìm kiếm biểu tượng menu nằm chủ yếu ở phía trên bên phải của trình duyệt và nhấp vào nó như hình bên dưới
3. Khi menu được mở, hãy tìm "Tùy chọn" trong các tùy chọn sau và nhấp vào nó để mở tùy chọn trình duyệt tor
4. Khi tab cài đặt được mở, hãy nhấp vào tùy chọn "Cài đặt và quyền riêng tư" nằm ở bên trái và tìm kiếm tùy chọn Bảo mật trong các tùy chọn đã cho
5. Bây giờ để tắt JavaScript, hãy nhấp vào tùy chọn "An toàn nhất" và đóng tab cài đặt
Trình duyệt Tor cũng có một cách khác để tắt JavaScript, đó là sử dụng tính năng "NoScript" của trình duyệt Tor để tắt tất cả các tập lệnh trong trình duyệt