Abo
  • Services:

Anonymisierung: Tor-Browser erhält Sicherheitscheck

Sicherheitsexperten haben den Browser des Tor-Bundles überprüft. Sie geben mehrere Hinweise, wie der Tor-Browser zu härten ist.

Artikel veröffentlicht am ,
Der Tor-Browser wurde auf seine Sicherheit überprüft.
Der Tor-Browser wurde auf seine Sicherheit überprüft. (Bild: Tor-Browser/Screenshot: Golem.de)

Die an den Anonymisierungsdienst Tor angepasste Version des Browsers Firefox ist von Experten auf Sicherheit überprüft worden. Sie raten unter anderem zu einer 64-Bit-Version für Mac OS X des Tor-Browsers, die die Sicherheitsfunktion Address Space Layout Randomization (ASLR) nutzen kann.

Stellenmarkt
  1. msg DAVID GmbH, Braunschweig
  2. Hochschule Wismar, Wismar

In einer der nächsten Versionen des Tor-Browsers soll der sogenannte Security Slider umgesetzt werden. Er erhält vier Sicherheitsstufen, die nach und nach Noscript aktivieren und HTML5-Videos nur mit mit einem Klick abspielen. In der höchsten Stufe wird Javascript deaktiviert. Außerdem soll es einen Pwn2own-Wettbewerb geben, bei dem es eine Belohnung für gefundene Schwachstellen geben soll.

Die Untersuchung durch das Security-Unternehmen Isec Partners hat außerdem ergeben, dass ASLR vom Tor-Browser nur unzureichend unterstützt wird. Das sei für die Windows-Version bereits bekannt, allerdings fehle sie auch in der Version für Mac OS X, was den Entwicklern nicht bewusst war. Für die Windows-Variante des Tor-Browsers sei ein Patch bereits in Arbeit. Das verlange jedoch eine 64-Bit-Version des Browsers für Mac OS X, die wegen der verwendeten Werkzeuge bislang nicht erstellt wird.

Wettbewerb zur Fehlersuche

Die 32- und 64-Bit-Versionen für Windows sollten künftig mit Microsofts Enhanced Mitigation Experience Toolkit geprüft werden, um nach weiteren möglichen Schwachstellen zu suchen, empfehlen die Experten. Außerdem sollen Gelder für einen Pwn2own-Wettbewerb gesammelt werden, bei dem unabhängige Experten Geldpreise für gefundene Schwachstellen im Tor-Browser erhalten. Ein erster Wettbewerb ist für 2015 anvisiert.

Der Tor-Browser wird aus dem Firefox-Quellcode erstellt. Dessen Speicherverwaltung Jemalloc, die vom FreeBSD-Projekt stammt, soll mit Partitionalloc beziehungsweise Ctmalloc von Google ersetzt werden. Diese Speicherverwaltung wird in Chrome und Chromium verwendet.

Für Tor ist Firefox besser

Außerdem beantworten die Entwickler auch gleich die Frage, warum das Tor-Projekt nicht Chrome verwendet statt Firefox, da Mozillas Browser weniger Sicherheitsfunktionen bietet als Googles Browser. Obwohl Firefox Funktionen wie Partitionalloc und Sandboxing nicht biete, habe Mozillas Browser wiederum wichtige Funktionen, die für Tor benötigt werden. Vor allem die Unterstützung für Proxys und der Schutz der Privatsphäre etwa bei der Integration von HTTPS-Everywhere seien bei Firefox deutlich besser als unter Chrome. Das Chrome-Team bei Google arbeite aber daran, diese Funktionen umzusetzen oder zu verbessern. Schließlich vereinfache die garantierte Langzeitunterstützung (Extended Release Support) durch Mozilla die Pflege des Tor-Browsers.

Das Tor-Team freue sich jedoch auf Sandboxing in Firefox, an dessen Entwicklung das Mozilla-Team jetzt verstärkt arbeite. Bis dahin wird das Tor-Team noch die neuen Funktionen in der GNU Compiler Collection überprüfen, mit der der Tor-Browser erstellt wird, darunter der Addresssanitizer, mit dem Pufferüberläufe während des Kompilierens entdeckt und vermieden werden können.

Das Security-Unternehmen Isec Partners hat die Sicherheitsprüfung des Tor-Browsers im Auftrag des Open Technology Fund (OTF) unternommen. Isec Partners wurde auch mit der Überprüfung der Verschlüsselungssoftware Truecrypt beauftragt. Das OTF verwaltet öffentliche Gelder im Auftrag der US-Behörde Broadcasting Board of Governors (BBG), die für internationale, nichtmilitärische Rundfunkanstalten verantwortlich sind, darunter Radio Free Europe oder Voice of America. Das OTF finanziert Projekte, die sich gegen die Zensur im Internet stellen und ist der größte Geldgeber des Tor-Projekts.



Anzeige
Spiele-Angebote
  1. 20,99€ - Release 07.11.
  2. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  3. 43,99€
  4. (-79%) 8,49€

Der Andere 27. Aug 2014

Errm. Kleiner Hinweis. Die No Fly List hat mit der Einreise nix zu tun. Die besagt nur...

xSynth 22. Aug 2014

Ich würde dort eher "als 15 Jahre" sagen/schreiben. Dann behalte deine Daten nur bei...

ploedman 21. Aug 2014

oder umgekehrte, umgekehrte Psychologie.

TC 21. Aug 2014

das Wort laß man mittlerweile so oft in Überschriften, das man sehr irritiert ist, wenn...


Folgen Sie uns
       


Assassin's Creed Odyssey - Test

Wir hätten nicht gedacht, dass wir erneut so gerne so viel Zeit in Ubisofts Antike verbringen.

Assassin's Creed Odyssey - Test Video aufrufen
Athlon 200GE im Test: Celeron und Pentium abgehängt
Athlon 200GE im Test
Celeron und Pentium abgehängt

Mit dem Athlon 200GE belebt AMD den alten CPU-Markennamen wieder: Der Chip gefällt durch seine Zen-Kerne und die integrierte Vega-Grafikeinheit, die Intel-Konkurrenz hat dem derzeit preislich wenig entgegenzusetzen.
Ein Test von Marc Sauter

  1. AMD Threadripper erhalten dynamischen NUMA-Modus
  2. HP Elitedesk 705 Workstation Edition Minitower mit AMD-CPU startet bei 680 Euro
  3. Ryzen 5 2600H und Ryzen 7 2800H 45-Watt-CPUs mit Vega-Grafik für Laptops sind da

Neuer Kindle Paperwhite im Hands On: Amazons wasserdichter E-Book-Reader mit planem Display
Neuer Kindle Paperwhite im Hands On
Amazons wasserdichter E-Book-Reader mit planem Display

Amazon bringt einen neuen Kindle Paperwhite auf den Markt und verbessert viel. Der E-Book-Reader steckt in einem wasserdichten Gehäuse, hat eine plane Displayseite, mehr Speicher und wir können damit Audible-Hörbücher hören. Noch nie gab es so viel Kindle-Leistung für so wenig Geld.
Ein Hands on von Ingo Pakalski


    Neuer Echo Dot im Test: Amazon kann doch gute Mini-Lautsprecher bauen
    Neuer Echo Dot im Test
    Amazon kann doch gute Mini-Lautsprecher bauen

    Echo Dot steht bisher für muffigen, schlechten Klang. Mit dem neuen Modell zeigt Amazon, dass es doch gute smarte Mini-Lautsprecher mit dem Alexa-Sprachassistenten bauen kann, die sogar gegen die Konkurrenz von Google ankommen.
    Ein Test von Ingo Pakalski


        •  /