アドオン設定画面を表示すると「NoScript は Tor Browser での使用が検証できないため無効化されています。」と出ます。 Tor Browser はスクリプトやIPアドレスが漏れたりキャンバスフィンガープリントされたりする危険要素をアドオンでブロックしていただけなようです。
Tor Browserで児童ポルノなどをやり取りしている人は大勢いますが、そういう人は今回のFirefoxの障害で逮捕されるかもしれませんね。 特に普段使っているPCで Tor Browser を使っていただけの人(仮想化無し)は、JavaScriptが実行された時点で即 キャンバスフィンガープリント でメイン環境と紐づけされちゃいますからね。
【注意喚起】Tor Browser で生IPアドレスが漏れる非常事態 (スコア:3, 興味深い)
【注意喚起】Tor Browser で生IPアドレスが漏れる非常事態
普通 Tor Browser を使う場合は「Tor Browserセキュリティの設定」でセキュリティレベル「最も安全」にするもので、
説明には「すべてのサイトでJavaScriptが無効化されます。」とあります。
しかし、このFirefoxの障害で、
・JavaScript
・カスタムフォント
・WebGL
など、あらゆるキャンバスフィンガープリントに使える機能が勝手に有効になってしまいました。
しかも警告メッセージの表示も無し。
アドオン設定画面を表示すると「NoScript は Tor Browser での使用が検証できないため無効化されています。」と出ます。
Tor Browser はスクリプトやIPアドレスが漏れたりキャンバスフィンガープリントされたりする危険要素をアドオンでブロックしていただけなようです。
Tor Browserで児童ポルノなどをやり取りしている人は大勢いますが、そういう人は今回のFirefoxの障害で逮捕されるかもしれませんね。
特に普段使っているPCで Tor Browser を使っていただけの人(仮想化無し)は、JavaScriptが実行された時点で即 キャンバスフィンガープリント でメイン環境と紐づけされちゃいますからね。
署名の検証ができないときにアドオンを無効にするというのはFirefoxとしては安全側に折れるフェールセーフのつもりかもしれませんが、
セキュリティのためにアドオンで JavaScript・カスタムフォント・WebGL 等を無効にしていた人たちは、一気に危険に晒されたのでした。
Re: (スコア:0)
日本の警察にCanvas Fingerprintingを使った個人特定なんてできるスキルがあると思ってるの?
FBIやNSAじゃあるまいし
ブラウザクラッシャーを作った13歳中学生を逮捕 [security.srad.jp]するのが限度だよ
Re: (スコア:0)
Tor Browser使うやつが
アドオン全滅状態に気付かず使うもんかね?
その程度に気付かず
どうしたらいいかもわからん阿呆なら
とっ捕まるのはいい経験になるんじゃないスカね
Re: (スコア:0)
> Tor Browserで児童ポルノなどをやり取りしている人は大勢います
知らんがな。
すでに報告済み (スコア:0)
https://trac.torproject.org/projects/tor/ticket/30388 [torproject.org]
設定を変えて回避して使いなさい。
Re: (スコア:0)
そもそもCanvas Fingerprintで生IPは漏れない。
「障害の影響でNoScriptが無効化される」をここまで曲解できるのは才能。
間接的には漏れますよ (スコア:0)
特に普段使っているPCで Tor Browser を使っていただけの人(仮想化無し)は、JavaScriptが実行された時点で即 キャンバスフィンガープリント でメイン環境と紐づけされちゃいますからね。
と書いてあるでしょ。
例えば、普段のブラウジングに使っているブラウザがFirefox(生IP)で、アングラサイトを見るのに使っているブラウザが同じパソコンにインストールされているTor Browserの場合、
JavaScriptが有効ならば双方のブラウザで共通する指紋が検出されるので、生IPの普段のブラウザとTor Browser(IP自体はTor Exit Node)での行動が関連付けられてしまいます。
なお、Tor Browserを別のPCで実行していればこの問題は発生しませんし、仮想マシン上で実行すれば緩和策にはなります。ただし、仮想マシンからもホストマシンの特徴が一部取れると言われており、仮想化は完全な対策にはなりません。
Re: (スコア:0)
一応、アドオンが無効になってる的なメッセージは出てましたよ。
それですぐにxpinstall.signatures.requiredをfalseにしましたけど。
オオカミ少年 (スコア:0)
anvas Fingerprintを魔法の追跡技術か何かと勘違いしている可能性。
Device FingerprintとCanvas Fingerprintの混同、及び、一般的なブラウザとTor Browserの混同が見られる。
特にTor BrowserではHTML5 Canvas APIの使用許可ダイアログやabout:ifconfigの無効化などのIP漏洩対策が独自に組み込まれており、Fingerprintはほぼ使い物にならない。
実際にいくつかのデモサイトで同一のFingerprintが取れるか試してみるといいだろう。
https://browserleaks.com/canvas [browserleaks.com]
https://jsfiddle.n [jsfiddle.net]