Abo
  • Services:
Anzeige
Der Tor-Browser wurde auf seine Sicherheit überprüft.
Der Tor-Browser wurde auf seine Sicherheit überprüft. (Bild: Tor-Browser/Screenshot: Golem.de)

Anonymisierung: Tor-Browser erhält Sicherheitscheck

Sicherheitsexperten haben den Browser des Tor-Bundles überprüft. Sie geben mehrere Hinweise, wie der Tor-Browser zu härten ist.

Anzeige

Die an den Anonymisierungsdienst Tor angepasste Version des Browsers Firefox ist von Experten auf Sicherheit überprüft worden. Sie raten unter anderem zu einer 64-Bit-Version für Mac OS X des Tor-Browsers, die die Sicherheitsfunktion Address Space Layout Randomization (ASLR) nutzen kann.

In einer der nächsten Versionen des Tor-Browsers soll der sogenannte Security Slider umgesetzt werden. Er erhält vier Sicherheitsstufen, die nach und nach Noscript aktivieren und HTML5-Videos nur mit mit einem Klick abspielen. In der höchsten Stufe wird Javascript deaktiviert. Außerdem soll es einen Pwn2own-Wettbewerb geben, bei dem es eine Belohnung für gefundene Schwachstellen geben soll.

Die Untersuchung durch das Security-Unternehmen Isec Partners hat außerdem ergeben, dass ASLR vom Tor-Browser nur unzureichend unterstützt wird. Das sei für die Windows-Version bereits bekannt, allerdings fehle sie auch in der Version für Mac OS X, was den Entwicklern nicht bewusst war. Für die Windows-Variante des Tor-Browsers sei ein Patch bereits in Arbeit. Das verlange jedoch eine 64-Bit-Version des Browsers für Mac OS X, die wegen der verwendeten Werkzeuge bislang nicht erstellt wird.

Wettbewerb zur Fehlersuche

Die 32- und 64-Bit-Versionen für Windows sollten künftig mit Microsofts Enhanced Mitigation Experience Toolkit geprüft werden, um nach weiteren möglichen Schwachstellen zu suchen, empfehlen die Experten. Außerdem sollen Gelder für einen Pwn2own-Wettbewerb gesammelt werden, bei dem unabhängige Experten Geldpreise für gefundene Schwachstellen im Tor-Browser erhalten. Ein erster Wettbewerb ist für 2015 anvisiert.

Der Tor-Browser wird aus dem Firefox-Quellcode erstellt. Dessen Speicherverwaltung Jemalloc, die vom FreeBSD-Projekt stammt, soll mit Partitionalloc beziehungsweise Ctmalloc von Google ersetzt werden. Diese Speicherverwaltung wird in Chrome und Chromium verwendet.

Für Tor ist Firefox besser

Außerdem beantworten die Entwickler auch gleich die Frage, warum das Tor-Projekt nicht Chrome verwendet statt Firefox, da Mozillas Browser weniger Sicherheitsfunktionen bietet als Googles Browser. Obwohl Firefox Funktionen wie Partitionalloc und Sandboxing nicht biete, habe Mozillas Browser wiederum wichtige Funktionen, die für Tor benötigt werden. Vor allem die Unterstützung für Proxys und der Schutz der Privatsphäre etwa bei der Integration von HTTPS-Everywhere seien bei Firefox deutlich besser als unter Chrome. Das Chrome-Team bei Google arbeite aber daran, diese Funktionen umzusetzen oder zu verbessern. Schließlich vereinfache die garantierte Langzeitunterstützung (Extended Release Support) durch Mozilla die Pflege des Tor-Browsers.

Das Tor-Team freue sich jedoch auf Sandboxing in Firefox, an dessen Entwicklung das Mozilla-Team jetzt verstärkt arbeite. Bis dahin wird das Tor-Team noch die neuen Funktionen in der GNU Compiler Collection überprüfen, mit der der Tor-Browser erstellt wird, darunter der Addresssanitizer, mit dem Pufferüberläufe während des Kompilierens entdeckt und vermieden werden können.

Das Security-Unternehmen Isec Partners hat die Sicherheitsprüfung des Tor-Browsers im Auftrag des Open Technology Fund (OTF) unternommen. Isec Partners wurde auch mit der Überprüfung der Verschlüsselungssoftware Truecrypt beauftragt. Das OTF verwaltet öffentliche Gelder im Auftrag der US-Behörde Broadcasting Board of Governors (BBG), die für internationale, nichtmilitärische Rundfunkanstalten verantwortlich sind, darunter Radio Free Europe oder Voice of America. Das OTF finanziert Projekte, die sich gegen die Zensur im Internet stellen und ist der größte Geldgeber des Tor-Projekts.


eye home zur Startseite
Der Andere 27. Aug 2014

Errm. Kleiner Hinweis. Die No Fly List hat mit der Einreise nix zu tun. Die besagt nur...

xSynth 22. Aug 2014

Ich würde dort eher "als 15 Jahre" sagen/schreiben. Dann behalte deine Daten nur bei...

ploedman 21. Aug 2014

oder umgekehrte, umgekehrte Psychologie.

TC 21. Aug 2014

das Wort laß man mittlerweile so oft in Überschriften, das man sehr irritiert ist, wenn...



Anzeige

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Apex Tool Holding Germany GmbH & Co. KG, Besigheim
  3. über JobLeads GmbH, Hamburg
  4. point S Deutschland GmbH, Ober-Ramstadt


Anzeige
Top-Angebote
  1. 2,99€ (ohne Prime bzw. unter 29€ Einkauf zzgl. 3€ Versand)
  2. (u. a. Dark Souls III für 24,99€, Darkosuls II: Scholar of the First Sin für 8,99€, Bioshock...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Hardlight VR Suit

    Vibrations-Weste soll VR-Erlebnis realistischer machen

  2. Autonomes Fahren

    Der Truck lernt beim Fahren

  3. Selektorenaffäre

    BND soll ausländische Journalisten ausspioniert haben

  4. Kursanstieg

    Bitcoin auf neuem Rekordhoch

  5. Google-Steuer

    Widerstand gegen Leistungsschutzrecht auf EU-Ebene

  6. Linux-Kernel

    Torvalds droht mit Nicht-Aufnahme von Treibercode

  7. Airbus A320

    In Flugzeugen wird der Platz selbst für kleine Laptops knapp

  8. Urheberrecht

    Marketplace-Händler wegen Bildern von Amazon bestraft

  9. V8 Turbofan

    Neuer Javascript-Compiler für Chrome kommt im März

  10. Motion Control

    Kamerafahrten für die perfekte Illusion



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Intel C2000: Weiter Unklarheit zur Häufung von NAS-Ausfällen
Intel C2000
Weiter Unklarheit zur Häufung von NAS-Ausfällen
  1. Super Bowl Lady Gaga singt unter einer Flagge aus Drohnen
  2. Lake Crest Intels Terminator-Chip mit Terabyte-Bandbreite
  3. Compute Card Intel plant Rechnermodul mit USB Type C

  1. Dass SHA-1 unsicher ist, war bereits seit 2005...

    JohnStones | 20:48

  2. And the winner is :Ryanair

    fanreisender | 20:48

  3. Re: Kleinteiligkeit

    derKlaus | 20:47

  4. Re: Wer in einem Betrieb...

    demon driver | 20:44

  5. Re: Fett sein ist kein Menschenrecht

    Mingfu | 20:44


  1. 18:02

  2. 17:43

  3. 16:49

  4. 16:21

  5. 16:02

  6. 15:00

  7. 14:41

  8. 14:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel