• IT-Karriere:
  • Services:

Anonymisierung: Tor-Browser erhält Sicherheitscheck

Sicherheitsexperten haben den Browser des Tor-Bundles überprüft. Sie geben mehrere Hinweise, wie der Tor-Browser zu härten ist.

Artikel veröffentlicht am ,
Der Tor-Browser wurde auf seine Sicherheit überprüft.
Der Tor-Browser wurde auf seine Sicherheit überprüft. (Bild: Tor-Browser/Screenshot: Golem.de)

Die an den Anonymisierungsdienst Tor angepasste Version des Browsers Firefox ist von Experten auf Sicherheit überprüft worden. Sie raten unter anderem zu einer 64-Bit-Version für Mac OS X des Tor-Browsers, die die Sicherheitsfunktion Address Space Layout Randomization (ASLR) nutzen kann.

Stellenmarkt
  1. Commerz Direktservice GmbH, Duisburg
  2. Sumitomo Electric Bordnetze SE, Wolfsburg-Hattorf

In einer der nächsten Versionen des Tor-Browsers soll der sogenannte Security Slider umgesetzt werden. Er erhält vier Sicherheitsstufen, die nach und nach Noscript aktivieren und HTML5-Videos nur mit mit einem Klick abspielen. In der höchsten Stufe wird Javascript deaktiviert. Außerdem soll es einen Pwn2own-Wettbewerb geben, bei dem es eine Belohnung für gefundene Schwachstellen geben soll.

Die Untersuchung durch das Security-Unternehmen Isec Partners hat außerdem ergeben, dass ASLR vom Tor-Browser nur unzureichend unterstützt wird. Das sei für die Windows-Version bereits bekannt, allerdings fehle sie auch in der Version für Mac OS X, was den Entwicklern nicht bewusst war. Für die Windows-Variante des Tor-Browsers sei ein Patch bereits in Arbeit. Das verlange jedoch eine 64-Bit-Version des Browsers für Mac OS X, die wegen der verwendeten Werkzeuge bislang nicht erstellt wird.

Wettbewerb zur Fehlersuche

Die 32- und 64-Bit-Versionen für Windows sollten künftig mit Microsofts Enhanced Mitigation Experience Toolkit geprüft werden, um nach weiteren möglichen Schwachstellen zu suchen, empfehlen die Experten. Außerdem sollen Gelder für einen Pwn2own-Wettbewerb gesammelt werden, bei dem unabhängige Experten Geldpreise für gefundene Schwachstellen im Tor-Browser erhalten. Ein erster Wettbewerb ist für 2015 anvisiert.

Der Tor-Browser wird aus dem Firefox-Quellcode erstellt. Dessen Speicherverwaltung Jemalloc, die vom FreeBSD-Projekt stammt, soll mit Partitionalloc beziehungsweise Ctmalloc von Google ersetzt werden. Diese Speicherverwaltung wird in Chrome und Chromium verwendet.

Für Tor ist Firefox besser

Außerdem beantworten die Entwickler auch gleich die Frage, warum das Tor-Projekt nicht Chrome verwendet statt Firefox, da Mozillas Browser weniger Sicherheitsfunktionen bietet als Googles Browser. Obwohl Firefox Funktionen wie Partitionalloc und Sandboxing nicht biete, habe Mozillas Browser wiederum wichtige Funktionen, die für Tor benötigt werden. Vor allem die Unterstützung für Proxys und der Schutz der Privatsphäre etwa bei der Integration von HTTPS-Everywhere seien bei Firefox deutlich besser als unter Chrome. Das Chrome-Team bei Google arbeite aber daran, diese Funktionen umzusetzen oder zu verbessern. Schließlich vereinfache die garantierte Langzeitunterstützung (Extended Release Support) durch Mozilla die Pflege des Tor-Browsers.

Das Tor-Team freue sich jedoch auf Sandboxing in Firefox, an dessen Entwicklung das Mozilla-Team jetzt verstärkt arbeite. Bis dahin wird das Tor-Team noch die neuen Funktionen in der GNU Compiler Collection überprüfen, mit der der Tor-Browser erstellt wird, darunter der Addresssanitizer, mit dem Pufferüberläufe während des Kompilierens entdeckt und vermieden werden können.

Das Security-Unternehmen Isec Partners hat die Sicherheitsprüfung des Tor-Browsers im Auftrag des Open Technology Fund (OTF) unternommen. Isec Partners wurde auch mit der Überprüfung der Verschlüsselungssoftware Truecrypt beauftragt. Das OTF verwaltet öffentliche Gelder im Auftrag der US-Behörde Broadcasting Board of Governors (BBG), die für internationale, nichtmilitärische Rundfunkanstalten verantwortlich sind, darunter Radio Free Europe oder Voice of America. Das OTF finanziert Projekte, die sich gegen die Zensur im Internet stellen und ist der größte Geldgeber des Tor-Projekts.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 13,29€
  2. 6,99€
  3. 11€

Der Andere 27. Aug 2014

Errm. Kleiner Hinweis. Die No Fly List hat mit der Einreise nix zu tun. Die besagt nur...

xSynth 22. Aug 2014

Ich würde dort eher "als 15 Jahre" sagen/schreiben. Dann behalte deine Daten nur bei...

ploedman 21. Aug 2014

oder umgekehrte, umgekehrte Psychologie.

TC 21. Aug 2014

das Wort laß man mittlerweile so oft in Überschriften, das man sehr irritiert ist, wenn...


Folgen Sie uns
       


Mario Kart Live - Test

In Mario Kart Live fährt ein Klempner durch unser Wohnzimmer.

Mario Kart Live - Test Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

    •  /