- security
- Iceweasel envoie un en-tête User-Agent peu commun
Un bug dans le bouton Tor (Debian bug #595375) fait que Iceweasel expose un User-Agent reconnaissable lorsque le paramètre « Spoof US English Browser » est désactivé, ce qui est le cas dans T(A)ILS 0.5.
Impact
Les personnes qui administrent les systèmes, les gestionnaires de site web et toutes celles qui peuvent lire les journaux d'un site web sont capables d'identifier, parmi les personnes qui le visite, celles qui utilisent une version affectée de l'extension du bouton Tor et qui ont volontairement désactivé le réglage « Spoof US English Browser ».
Comme les personnes qui utilisent T(A)ILS ne sont pas les seules dans ce cas, un tel bug atténue l'identification par empreintes.
L'adresse IP du client enregistrée dans les journaux du serveur web lors d'une connexion de ce type est celle d'un nœud de sortie Tor utilisé par les personnes utilisant T(A)ILS à cet instant.
Solution
Mise à jour vers T(A)ILS 0.6.
Limiter les effets sur T(A)ILS 0.5
Les étapes suivantes doivent être faites immédiatement après le démarrage, avant de lancer Iceweasel.
Exécuter la commande suivante dans un terminal :
gksudo gedit /etc/iceweasel/profile/user.js
... cela ouvre un éditeur de texte. Supprimer la ligne qui indique :
user_pref("extensions.torbutton.spoof_english", false);
... puis enregistrer et quitter. Vous pouvez maintenant lancer Iceweasel.
Attention ! Changer ce réglage dans la fenêtre de préférences du bouton Tor n'est pas efficace.
Versions affectées
Torbutton 1.2.5, inclus dans T(A)ILS 0.5