Tor Browser больше не гарантирует анонимность. Рассказываем о бреши, которая позволяет следить за пользователями без куки
NewsMakerКак заставить Firefox рассказать о себе всё без лишних вопросов.
В браузерах на базе Firefox нашли неожиданную лазейку, которая позволяет сайтам «узнавать» пользователя даже там, где люди рассчитывают на приватность. Речь не о куки и не о привычных методах слежки.
О проблеме рассказали специалисты компании Fingerprint. По их словам, уязвимость затрагивает все браузеры на движке Mozilla Firefox, включая Tor Browser . Браузеры фактически раскрывают уникальный отпечаток , позволяющий отслеживать пользователя между сайтами без куки и других привычных методов.
Сайт может создать набор баз данных через механизм IndexedDB, затем запросить их список и получить определённый порядок. Этот порядок оказывается стабильным и уникальным для конкретного процесса браузера. В результате разные сайты, никак не связанные между собой, могут увидеть один и тот же «отпечаток» и понять, что пользователь – один и тот же.
Особенно неприятный момент связан с приватным режимом. Даже после закрытия всех приватных окон такой идентификатор может сохраняться, пока процесс Firefox продолжает работать. В Tor Browser ситуация ещё хуже. Функция «Новая личность», которая должна полностью обрывать связь между сессиями, не помогает – порядок баз данных остаётся прежним, и сайты могут связать активность до и после сброса.
В браузерах на базе Firefox нашли неожиданную лазейку, которая позволяет сайтам «узнавать» пользователя даже там, где люди рассчитывают на приватность. Речь не о куки и не о привычных методах слежки.
О проблеме рассказали специалисты компании Fingerprint. По их словам, уязвимость затрагивает все браузеры на движке Mozilla Firefox, включая Tor Browser . Браузеры фактически раскрывают уникальный отпечаток , позволяющий отслеживать пользователя между сайтами без куки и других привычных методов.
Сайт может создать набор баз данных через механизм IndexedDB, затем запросить их список и получить определённый порядок. Этот порядок оказывается стабильным и уникальным для конкретного процесса браузера. В результате разные сайты, никак не связанные между собой, могут увидеть один и тот же «отпечаток» и понять, что пользователь – один и тот же.
Особенно неприятный момент связан с приватным режимом. Даже после закрытия всех приватных окон такой идентификатор может сохраняться, пока процесс Firefox продолжает работать. В Tor Browser ситуация ещё хуже. Функция «Новая личность», которая должна полностью обрывать связь между сессиями, не помогает – порядок баз данных остаётся прежним, и сайты могут связать активность до и после сброса.