Представлены корректирующие выпуски инструментария Tor ( 0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), используемого для организации работы анонимной сети Tor. В новых версиях устранено две уязвимости:...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52568
Режимы Safe и Safest должны быть реализованы в Tor Browser нативно, а не в виде стороннего дополнения.
Значительная доля вины тут лежит на разрабах Firefox и TorBrowser.Разрабы файрфокса завязали некоторые внутренние компоненты на тот же доступ к JS, который контролируется javascript.enabled, так что если выставить в false - полбраузера не работает, включая pdf.js. Открывается пустое окно, где даже кнопка "скачать" не работает. Результат один - народ отключит safest, как только увидит, что штатные функции браузера сломаны им. Но это в принципе пофиг - те, кому нужно качать PDFы качают и открывают их нормальными PDF-просмотрщиками не смотря на все предупреждения TorBrowser о том, что в pdfках могут быть цифровые подписи, которые просмотрщик в большинстве случаев проверит на отзыв ключа, если это не отключено, проведя деанон. Можно было бы просто выключить pdf.js, это мало что поменяло бы. Специально или нет так сделано - сами думайте.
Разрабы торбраузера вместо того, чтобы это исправить, например вывести внутренние компоненты из под javascript.enabled, если надо, то поправив С++ код, положились на говnoscript. Специально или нет так сделано - сами думайте.
Теперь про noscript. Положиться на CSP для блокировки JS небезопасно, ведь
* сайты сами CSP определяют, тут либо всю csp от сайта ффтoпку, либо сливать.
* в Firefox аддоны переопределяют CSP друг друга, и Могилла отказалась делать слитие CSP.Поэтому единственный вариант - это вмешиваться в траффик, парсить HTML и XML и вырезать всё, что может быть JS. При этом API для парсинга HTML Могилла не предоставляет. Как не предоставляет API доя того, чтобы вклиниться между веб-страницей и движком браузера и решать, какие функции доступны.
Учитывая в добавок все предыдущие позиции Могиллы, а именно удаление отключения JS из GUI, блокировку доступа в about:config на fenix и удаление настройки для отключения воркеров, всё встаёт на свои места: становится понятно, что блокировка компонентов веб-страниц и опасных функций противоречит долговременной стратегии Могиллы и её основных спонсоров и будет выпиливаться.
К тому же Maone - вообще очень мутный тип, не внушающий доверия. Список претензий к его технополитическим решениям, таким как зашивание и активация по-умолчанию белого списка, в рамках разработки noscript можно найти в его репозитории.
Но виноват во всём, разумеется, TorProject. Это они приняли решение не патчить эти аспекты Firefoxа, если надо, переписав его половину, это они положились на NoScript, это они выбрали tradeof в пользу работы малонужных функций браузера в ущерб безопасности, это они явно не предупредили каждого пользователя, что ну не смогли они обеспечить защиту от включения JavaScript.
> положились на NoScriptКоторый уже отваливался, когда сертификат Мозиллы протух.
А еще торовцы стали палить систему в JS (User Agent): Win, Lin и Mac.
>автоматическое обновление NoScriptЧто это за шерето? Достаточно добавить "нужное" исправление в noscript (автор которого уже замечен за созданием и рекламой спайвари) и мамкины анонимы дружно лососнут. Никогда не понимал, зачем они какую-то левую дрянь пихают. Учитывая, сколько уязвимостей находят как раз в этом "левом" компоненте, это видимо ответ.
Там списки настраиваются и их наверняка проверяют
Да тут в целом ситуация, достойная выступлений лучших юмористов.Ну сколько лет уже существует и этот тор и браузер. Сколько раз рассказывали, как оно всё Э-элементарно работает, как это всё просто и невероятно безопасно.. годы идут, а цирк с клоунами и совершенно нелепыми багами/уязвимости так никуда и не девается.
Что такое шерето? Рeшeтo что-ли?
Это чтобы опеннетовский фильтр не чудил. Он ещё бывает на слово "космонавт" реагирует.
Он даже некоторые фамилии считает матом.
Это понятно. Непонятно, зачем слова коверкать, вместо того, чтобы нормально написать омоглифами.
Пример качественного проекта с нормально поддерживаемыми ветками.
DoS уязвимость еще в прошлом году же устранялась.
Они новую добавили
>рекомендуется на время в about:config полностью запретить использованием в браузере JavaScript через изменение параметра javascript.enabled в about:config.Года два назад здесь предлагал это делать, так местные "умники" меня заминусовали.
Цензура - это фашизм.
Цензура - это цензура, фашизм - это фашизм. Ваш кэп.
В этот раз неудачно.