Può Heartbleed esporre l'indirizzo IP di un utente TOR?

Il nodo di uscita non conosce il tuo indirizzo IP - questo è il punto principale del routing della cipolla. Piuttosto, sa quale nodo relay contattare per consentire ai dati di tornare a voi. Affinché il tuo indirizzo IP venga rivelato con certezza, l'intera catena deve essere vulnerabile; se i nodi di entrata e di uscita sono entrambi vulnerabili, un utente malintenzionato può effettuare un'indagine ragionevole sul proprio IP correlando l'utilizzo dei nodi di inoltro.

TOR ha recentemente iniziato a rifiutare tutti i server che non hanno aggiornato il loro SSL. C'è anche l'iniziativa di bloccare qualsiasi server che arriva online con SSL senza patch in futuro. Questi tagli comportano un calo della capacità di rete del ~ 12% per Tor. Ciò è il risultato del blocco di ~ 380 server.

Di seguito è riportato un estratto dal messaggio sulla mailing list di Tor:

I thought for a while about taking away their Valid flag rather
than rejecting them outright, but this way they'll get notices
in their logs.

I also thought for a while about trying to keep my list of fingerprints
up-to-date (i.e. removing the !reject line once they've upgraded their
openssl), but on the other hand, if they were still vulnerable as of
yesterday, I really don't want this identity key on the Tor network even
after they've upgraded their openssl.

If the other directory authority operators follow suit, we'll lose about
12% of the exit capacity and 12% of the guard capacity.

I/we should add to this list as we discover other relays that come
online with vulnerable openssl versions.

Also these are just the relays with Guard and/or Exit flags, so we should
add the other 1000+ at some point soon.

Maggiori informazioni sulla mailing list: link