Ein Torbutton-Fehler (Debian bug #595375) sorgt dafür, dass Iceweasel einen erkennbaren User-Agent ausgibt, wenn die Einstellung "Spoof US English Browser" deaktiviert ist, was in T(A)ILS 0.5 der Fall ist.

Auswirkungen

Systemadministratoren, Webmaster und jeder, der in der Lage ist, die Logs einer Website zu lesen, kann unter den Besuchern diejenigen herausfinden, die eine betroffene Torbutton-Erweiterung verwenden und die Einstellung "Spoof US English Browser" ausdrücklich deaktiviert haben.

Während T(A)ILS-Nutzer offensichtlich nicht die einzigen in diesem Fall sind, erleichtert ein solcher Fehler das Fingerprinting.

Die im Webserver-Logbuch für eine solche Verbindung aufgezeichnete Client-IP-Adresse ist die des Tor-Ausgangsknotens, den der T(A)ILS-Benutzer zu diesem Zeitpunkt verwendet hat.

Lösung

Upgrade auf T(A)ILS 0.6.

Milderung in T(A)ILS 0.5

Die folgenden Schritte müssen unmittelbar nach dem Booten durchgeführt werden, bevor Sie Iceweasel ausführen.

Führen Sie den folgenden Befehl in einem Terminal aus:

gksudo gedit /etc/iceweasel/profile/user.js

... dies öffnet einen Texteditor. Löschen Sie die Zeile, die sagt:

user_pref("extensions.torbutton.spoof_english", false);

... dann speichern und beenden. Sie können nun Iceweasel ausführen.

Beware! Changing this setting in the Torbutton preferences window is not effective.

Betroffene Versionen

Torbutton 1.2.5, enthalten in T(A)ILS 0.5