Potrebbe ProtonMail scoprire la posizione reale di un utente dall'interno di Tor?

0

Questo articolo afferma che l'autorizzazione di javascript deve essere considerata un potenziale buco di sicurezza qualsiasi cosa (dentro o fuori Tor). Quindi, il meglio che possiamo fare è sperare che ProtonMail non diventi malvagio?

Come funziona esattamente? Come possono scoprire il nostro vero indirizzo IP? Dipende dalla ricerca di un exploit da 0 giorni?

E se loro (ProtonMail, o qualsiasi altro sito Web) cercano di curiosarci, dovrebbero essere visibili nel codice sorgente JS giusto? Ma JS può essere oscurato, quindi come può esattamente un utente medio scoprire se un sito web sta tentando di capire il reale indirizzo IP (dentro o fuori Tor)?

    
posta Dokli 04.03.2017 - 08:54
fonte

1 risposta

1

Come menzionato da @schroeder, si tratta puramente di Javascript, non di qualsiasi app specifica che coinvolge Javascript.

Un esempio pratico di come Javascript può essere usato per de-cloak di un utente tor è usando WebRTC (vedi link ). Javascript è in discussione perché è usato per costruire la connessione WebRTC (vedi link per una grande panoramica di WebRTC).

Un altro è l'uso delle API di geo-localizzazione incorporate nei browser, che, di nuovo, sono destinate ad essere interrogate tramite Javascript (si veda ad esempio link ). Tale API tipicamente fallisce nell'utilizzare la posizione basata su IP come ultima risorsa, ma spesso preferisce altre fonti (come punti di accesso visibili, GPS, ecc.).

Ci sono altri esempi che riguardano Flash, forse Java, e senza dubbio un'intera lista di altre cose.

È possibile (in genere) il profilo javascript (tramite la modalità di sviluppo / debug del browser, che in genere è possibile accedere premendo F12), e la maggior parte dei browser fornirà anche un modo per verificare quali connessioni vengono effettuate dal browser durante l'elaborazione di un pagina.

Generalmente, la prevenzione è di gran lunga preferibile al rilevamento, quindi fare cose come disabilitare / limitare Javascript, disabilitare WebRTC a livello globale, non, mai, in nessun caso consentire flash o java nel tuo browser , probabilmente sei il tuo migliore scommessa.

    
risposta data 04.03.2017 - 10:15
fonte

Leggi altre domande sui tag