パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

MozillaがFirefoxの拡張機能で難読化コードの使用禁止を発表した2日後、全拡張機能が動作しなくなるトラブルが発生」記事へのコメント

  • by Anonymous Coward on 2019年05月04日 20時56分 (#3609630)

    【注意喚起】Tor Browser で生IPアドレスが漏れる非常事態

    普通 Tor Browser を使う場合は「Tor Browserセキュリティの設定」でセキュリティレベル「最も安全」にするもので、
    説明には「すべてのサイトでJavaScriptが無効化されます。」とあります。

    しかし、このFirefoxの障害で、
    ・JavaScript
    ・カスタムフォント
    ・WebGL
    など、あらゆるキャンバスフィンガープリントに使える機能が勝手に有効になってしまいました。

    しかも警告メッセージの表示も無し。

    アドオン設定画面を表示すると「NoScript は Tor Browser での使用が検証できないため無効化されています。」と出ます。
    Tor Browser はスクリプトやIPアドレスが漏れたりキャンバスフィンガープリントされたりする危険要素をアドオンでブロックしていただけなようです。

    Tor Browserで児童ポルノなどをやり取りしている人は大勢いますが、そういう人は今回のFirefoxの障害で逮捕されるかもしれませんね。
    特に普段使っているPCで Tor Browser を使っていただけの人(仮想化無し)は、JavaScriptが実行された時点で即 キャンバスフィンガープリント でメイン環境と紐づけされちゃいますからね。

    署名の検証ができないときにアドオンを無効にするというのはFirefoxとしては安全側に折れるフェールセーフのつもりかもしれませんが、
    セキュリティのためにアドオンで JavaScript・カスタムフォント・WebGL 等を無効にしていた人たちは、一気に危険に晒されたのでした。

    • by Anonymous Coward

      日本の警察にCanvas Fingerprintingを使った個人特定なんてできるスキルがあると思ってるの?
      FBIやNSAじゃあるまいし

      ブラウザクラッシャーを作った13歳中学生を逮捕 [security.srad.jp]するのが限度だよ

    • by Anonymous Coward

      Tor Browser使うやつが
      アドオン全滅状態に気付かず使うもんかね?

      その程度に気付かず
      どうしたらいいかもわからん阿呆なら
      とっ捕まるのはいい経験になるんじゃないスカね

    • by Anonymous Coward

      > Tor Browserで児童ポルノなどをやり取りしている人は大勢います

      知らんがな。

    • by Anonymous Coward

      https://trac.torproject.org/projects/tor/ticket/30388 [torproject.org]

      設定を変えて回避して使いなさい。

    • by Anonymous Coward

      そもそもCanvas Fingerprintで生IPは漏れない。

      「障害の影響でNoScriptが無効化される」をここまで曲解できるのは才能。

      • 特に普段使っているPCで Tor Browser を使っていただけの人(仮想化無し)は、JavaScriptが実行された時点で即 キャンバスフィンガープリント でメイン環境と紐づけされちゃいますからね。

        と書いてあるでしょ。

        例えば、普段のブラウジングに使っているブラウザがFirefox(生IP)で、アングラサイトを見るのに使っているブラウザが同じパソコンにインストールされているTor Browserの場合、
        JavaScriptが有効ならば双方のブラウザで共通する指紋が検出されるので、生IPの普段のブラウザとTor Browser(IP自体はTor Exit Node)での行動が関連付けられてしまいます。

        なお、Tor Browserを別のPCで実行していればこの問題は発生しませんし、仮想マシン上で実行すれば緩和策にはなります。ただし、仮想マシンからもホストマシンの特徴が一部取れると言われており、仮想化は完全な対策にはなりません。

    • by Anonymous Coward

      一応、アドオンが無効になってる的なメッセージは出てましたよ。
      それですぐにxpinstall.signatures.requiredをfalseにしましたけど。

    • by Anonymous Coward

      anvas Fingerprintを魔法の追跡技術か何かと勘違いしている可能性。

      Device FingerprintとCanvas Fingerprintの混同、及び、一般的なブラウザとTor Browserの混同が見られる。

      特にTor BrowserではHTML5 Canvas APIの使用許可ダイアログやabout:ifconfigの無効化などのIP漏洩対策が独自に組み込まれており、Fingerprintはほぼ使い物にならない。

      実際にいくつかのデモサイトで同一のFingerprintが取れるか試してみるといいだろう。

      https://browserleaks.com/canvas [browserleaks.com]
      https://jsfiddle.n [jsfiddle.net]

日々是ハック也 -- あるハードコアバイナリアン

処理中...