https://opennet.ru/openforum/vsluhforumID3/115244.html Компания Zerodium, скупающая (https://www.opennet.ru/opennews/art.shtml?num=47199) сведения о ранее неизвестных уязвимостях в Tor Browser, раскрыла (https://twitter.com/Zerodium/status/1039127214602641409) информацию об уязвимости в Tor Browser 7.x, позволяющей обойти запрет выполнения JavaScript-кода при выборе режима 'Safest'. Проблема присутствует в классической ветке дополнения NoScript 5.x, которое входит в состав Tor Browser. <br><br><br>Как оказалось NoScript не блокирует выполнения JavaScript кода в случае загрузки скриптов с некорректным Content-Type, который, тем не менее, воспринимается браузером. Например, при отдаче страницы с "Content-Type: text/html;/json" блокировка JavaScript не будет действовать. Проблема не проявляется в ветках Tor Browser 8.x и NoScript 10.x, переведённых на технологию WebExtention. <br><br><br>Разработчики NoScript оперативно выпустили (https://noscript.net/getit#classic) обновление 5.1.8.7 в котором устранили выявленную уязвимость. Проект Tor пока не сформировал (https://dist.torp https://opennet.ru/openforum/vsluhforumID3/115244.html#53 Sun, 23 Sep 2018 10:00:13 GMT &gt;"Так как компания Mozilla прекратила приём обновлений для старых дополнений в каталог AMO и, соответственно, не позволяет сформировать цифровую подпись<br><br>Автор новости преувеличил: Mozilla прекратила приём обновлений для старых дополнений в каталог AMO только для Firefox, но есть хак, позволяющий обойти ограничение &#8212; нужно в список поддерживаемых дополнением приложений добавить левое поддерживаемое (например, SeaMonkey) и всё заработает. Вот пример дополнения (за май 2018 года, после первых отключений): https://web.archive.org/web/20180923095116/https://addons.mozilla.org/ru/firefox/addon/cookies-exterminator/versions/ .<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#52 Thu, 13 Sep 2018 17:39:39 GMT Как заставить сабж по умолчанию блокировать скипты?<br>Изменения во вкладке default не сохраняются.<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#51 Thu, 13 Sep 2018 16:10:42 GMT Мультипроцессность? При отключении какие последствия?<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#50 Thu, 13 Sep 2018 16:01:52 GMT Что это?<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#49 Thu, 13 Sep 2018 15:56:48 GMT Описка. Он хотел написать "Мажор"<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#48 Wed, 12 Sep 2018 00:14:38 GMT Наивный. Смотрите сюда: https://www.opennet.ru/opennews/art.shtml?num=49251#46<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#47 Wed, 12 Sep 2018 00:03:10 GMT И правильно делали. В 8й версии тоже похожая дырка. Боюсь что мы еще много неприятного узнаем, т.к. ревью кода NoScript на экстеншнах не было. См. мой камент выше.<br> https://opennet.ru/openforum/vsluhforumID3/115244.html#46 Wed, 12 Sep 2018 00:01:05 GMT ССЗБ тот, кто обновляется не глядя во что он обновляется.<br><br>Приглашаю вас сюда: https://trac.torproject.org/projects/tor/query?status=accepted&status=assigned&status=merge_ready&status=needs_information&status=needs_review&status=needs_revision&status=new&status=reopened&keywords=~ff60-esr&component=%5EApplications%2FTor+Browser&col=id&col=summary&col=status&col=owner&col=type&col=priority&col=milestone&order=priority<br><br>Отведаем лишь несколько самых вкусных билетов.<br><br>#22176 - не завершено ревью кода сетевого стека браузера. Проблеме 16 месяцев.<br>#26557 - от одной восьмерочной альфы к другой повысилась точно фингерпринта клавиатуры. Но это цветочки.<br>#26146 - вот это ягодки. Теперь TorBrowser честно рассказывает всем под какой ОС он запущен. Большой привет всем анонимам под линуксом. Посмотрите на результаты https://panopticlick.eff.org/, порадуйтесь.<br>#26513 - тот самый NoScript. До 10.х версии на экстеншнах обновили, но ревью на предмет багов и дыр в безопасности так и не сделали. Еще и потеряли в функци https://opennet.ru/openforum/vsluhforumID3/115244.html#45 Tue, 11 Sep 2018 18:41:02 GMT Да не тяжёлая она. Просто е10s надо отключить. Единственная проблема - хрюшу дропнули.<br>