Abo
  • Services:
Anzeige
Der Tor-Browser wurde auf seine Sicherheit überprüft.
Der Tor-Browser wurde auf seine Sicherheit überprüft. (Bild: Tor-Browser/Screenshot: Golem.de)

Anonymisierung: Tor-Browser erhält Sicherheitscheck

Sicherheitsexperten haben den Browser des Tor-Bundles überprüft. Sie geben mehrere Hinweise, wie der Tor-Browser zu härten ist.

Anzeige

Die an den Anonymisierungsdienst Tor angepasste Version des Browsers Firefox ist von Experten auf Sicherheit überprüft worden. Sie raten unter anderem zu einer 64-Bit-Version für Mac OS X des Tor-Browsers, die die Sicherheitsfunktion Address Space Layout Randomization (ASLR) nutzen kann.

In einer der nächsten Versionen des Tor-Browsers soll der sogenannte Security Slider umgesetzt werden. Er erhält vier Sicherheitsstufen, die nach und nach Noscript aktivieren und HTML5-Videos nur mit mit einem Klick abspielen. In der höchsten Stufe wird Javascript deaktiviert. Außerdem soll es einen Pwn2own-Wettbewerb geben, bei dem es eine Belohnung für gefundene Schwachstellen geben soll.

Die Untersuchung durch das Security-Unternehmen Isec Partners hat außerdem ergeben, dass ASLR vom Tor-Browser nur unzureichend unterstützt wird. Das sei für die Windows-Version bereits bekannt, allerdings fehle sie auch in der Version für Mac OS X, was den Entwicklern nicht bewusst war. Für die Windows-Variante des Tor-Browsers sei ein Patch bereits in Arbeit. Das verlange jedoch eine 64-Bit-Version des Browsers für Mac OS X, die wegen der verwendeten Werkzeuge bislang nicht erstellt wird.

Wettbewerb zur Fehlersuche

Die 32- und 64-Bit-Versionen für Windows sollten künftig mit Microsofts Enhanced Mitigation Experience Toolkit geprüft werden, um nach weiteren möglichen Schwachstellen zu suchen, empfehlen die Experten. Außerdem sollen Gelder für einen Pwn2own-Wettbewerb gesammelt werden, bei dem unabhängige Experten Geldpreise für gefundene Schwachstellen im Tor-Browser erhalten. Ein erster Wettbewerb ist für 2015 anvisiert.

Der Tor-Browser wird aus dem Firefox-Quellcode erstellt. Dessen Speicherverwaltung Jemalloc, die vom FreeBSD-Projekt stammt, soll mit Partitionalloc beziehungsweise Ctmalloc von Google ersetzt werden. Diese Speicherverwaltung wird in Chrome und Chromium verwendet.

Für Tor ist Firefox besser

Außerdem beantworten die Entwickler auch gleich die Frage, warum das Tor-Projekt nicht Chrome verwendet statt Firefox, da Mozillas Browser weniger Sicherheitsfunktionen bietet als Googles Browser. Obwohl Firefox Funktionen wie Partitionalloc und Sandboxing nicht biete, habe Mozillas Browser wiederum wichtige Funktionen, die für Tor benötigt werden. Vor allem die Unterstützung für Proxys und der Schutz der Privatsphäre etwa bei der Integration von HTTPS-Everywhere seien bei Firefox deutlich besser als unter Chrome. Das Chrome-Team bei Google arbeite aber daran, diese Funktionen umzusetzen oder zu verbessern. Schließlich vereinfache die garantierte Langzeitunterstützung (Extended Release Support) durch Mozilla die Pflege des Tor-Browsers.

Das Tor-Team freue sich jedoch auf Sandboxing in Firefox, an dessen Entwicklung das Mozilla-Team jetzt verstärkt arbeite. Bis dahin wird das Tor-Team noch die neuen Funktionen in der GNU Compiler Collection überprüfen, mit der der Tor-Browser erstellt wird, darunter der Addresssanitizer, mit dem Pufferüberläufe während des Kompilierens entdeckt und vermieden werden können.

Das Security-Unternehmen Isec Partners hat die Sicherheitsprüfung des Tor-Browsers im Auftrag des Open Technology Fund (OTF) unternommen. Isec Partners wurde auch mit der Überprüfung der Verschlüsselungssoftware Truecrypt beauftragt. Das OTF verwaltet öffentliche Gelder im Auftrag der US-Behörde Broadcasting Board of Governors (BBG), die für internationale, nichtmilitärische Rundfunkanstalten verantwortlich sind, darunter Radio Free Europe oder Voice of America. Das OTF finanziert Projekte, die sich gegen die Zensur im Internet stellen und ist der größte Geldgeber des Tor-Projekts.


eye home zur Startseite
Der Andere 27. Aug 2014

Errm. Kleiner Hinweis. Die No Fly List hat mit der Einreise nix zu tun. Die besagt nur...

xSynth 22. Aug 2014

Ich würde dort eher "als 15 Jahre" sagen/schreiben. Dann behalte deine Daten nur bei...

ploedman 21. Aug 2014

oder umgekehrte, umgekehrte Psychologie.

TC 21. Aug 2014

das Wort laß man mittlerweile so oft in Überschriften, das man sehr irritiert ist, wenn...



Anzeige

Stellenmarkt
  1. Convergys Management Holding GmbH & Co. KG, Osnabrück
  2. Daimler AG, Leinfelden-Echterdingen
  3. Meierhofer AG, München, St. Valentin (Österreich), Bern (Schweiz), Berlin, Leipzig
  4. W&W Informatik GmbH, Ludwigsburg


Anzeige
Spiele-Angebote
  1. 25,99€
  2. (u. a. Pac-Man ab 1,99€)
  3. 10,19€

Folgen Sie uns
       


  1. Sony

    Online spielen auf der Playstation wird teurer

  2. Quartalszahlen

    Intel meldet Rekordumsatz für zweites Quartal 2017

  3. Deutsche Telekom

    Router-Hacker bekommt Bewährungsstrafe

  4. Gnome

    Freiheit ist mehr als nur Code

  5. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  6. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  7. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  8. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  9. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  10. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Makeblock Airblock im Test: Es regnet Drohnenmodule
Makeblock Airblock im Test
Es regnet Drohnenmodule
  1. US-Armee Die Flugdrohne, die an ein Flughörnchen erinnert
  2. Wettrüsten DJI gegen Drohnenhacker
  3. Verbrennungsmotor Benzin-Drohne soll fünf Tage in der Luft bleiben

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

  1. Re: Gut gebrüllt Löwe!

    Joker86 | 16:34

  2. Re: Smartphone + Kamera bleibt IMMER ein Kompromiss

    ichbinsmalwieder | 16:31

  3. Re: ich zeig das nächste mal einen kranken an

    Plasma | 16:28

  4. Re: Mehr Ausbildung als notwendig

    rugel | 16:28

  5. Re: AES Benchmarks

    mrmoralhazard | 16:28


  1. 16:55

  2. 16:28

  3. 15:11

  4. 14:02

  5. 13:44

  6. 13:00

  7. 12:45

  8. 12:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel