Читайте статью
Image

NGFW, который тормозит сеть — это не защита

Эксперты протестировали 12 NGFW в условиях реальной нагрузки. Результаты расходятся с обещаниями вендоров.

Tor Browser больше не гарантирует анонимность. Рассказываем о бреши, которая позволяет следить за пользователями без куки

leer en español

Mozilla Tor Fingerprint уязвимость куки
Tor Browser больше не гарантирует анонимность. Рассказываем о бреши, которая позволяет следить за пользователями без куки
Mozilla Tor Fingerprint уязвимость куки

Как заставить Firefox рассказать о себе всё без лишних вопросов.

image

В браузерах на базе Firefox нашли неожиданную лазейку, которая позволяет сайтам «узнавать» пользователя даже там, где люди рассчитывают на приватность. Речь не о куки и не о привычных методах слежки.

О проблеме рассказали специалисты компании Fingerprint. По их словам, уязвимость затрагивает все браузеры на движке Mozilla Firefox, включая Tor Browser. Браузеры фактически раскрывают уникальный отпечаток, позволяющий отслеживать пользователя между сайтами без куки и других привычных методов.

Сайт может создать набор баз данных через механизм IndexedDB, затем запросить их список и получить определённый порядок. Этот порядок оказывается стабильным и уникальным для конкретного процесса браузера. В результате разные сайты, никак не связанные между собой, могут увидеть один и тот же «отпечаток» и понять, что пользователь – один и тот же.

Особенно неприятный момент связан с приватным режимом. Даже после закрытия всех приватных окон такой идентификатор может сохраняться, пока процесс Firefox продолжает работать. В Tor Browser ситуация ещё хуже. Функция «Новая личность», которая должна полностью обрывать связь между сессиями, не помогает – порядок баз данных остаётся прежним, и сайты могут связать активность до и после сброса.

Причина кроется в том, как браузер хранит данные. В приватном режиме имена баз данных заменяются на случайные идентификаторы и записываются в общую таблицу, которая живёт, пока браузер не перезапустят. Когда сайт запрашивает список баз, браузер возвращает их без сортировки. Итоговый порядок зависит от внутренней структуры хранилища и остаётся неизменным в рамках одного процесса. Такой порядок не привязан к конкретному сайту, а значит, работает сразу для всех вкладок и доменов.

Для атаки не нужны куки, локальное хранилище или другие привычные механизмы. Достаточно стандартного интерфейса браузера. При этом «ёмкость» такого отпечатка довольно высокая. Если сайт создаёт, например, 16 баз данных, возможных вариантов порядка настолько много, что этого достаточно, чтобы уверенно различать пользователей в рамках одной сессии.

Разработчики сообщили о проблеме в Mozilla и команде Tor Project. Исправление уже вышло в Firefox 150 и версии с длительной поддержкой 140.10.0. Уязвимость зарегистрировали под номером Mozilla Bug 2024220. Решение оказалось простым – браузер теперь сортирует список баз данных прежде чем выдать его, убирая уникальный «шум», который и служил идентификатором.