UberCookie es una prueba de concepto de como identificar usuarios de TOR Browser (fingerprinting) usando javascript. Se utiliza una combinación de CPU Benchmark, la forma en que reporta la información el evento 'wheel' de javascript, la velocidad máxima del ratón y la función getClientRects, que sorprendemente no está limitada en TOR Browser y que permite distinguir claramente los navegadores de cada usuario. Además se proporciona una explicación de como se han eludido las contramedidas de precisión de medidas del tiempo usando CSS3.
Comentarios
TOR browser suele llevar apagado javascript, no puede funcionar el exploit sin que alguien lo active expresamente... cosa que si es un usuario "normalito" de TOR no va a hacer ni que lo maten (y seguramente ello esta evitando usando TOR).
Así que es una TORteria de NOticia.
#1 Tor browser lleva javascript activado por defecto:
https://www.torproject.org/docs/faq.html.en#TBBJavaScriptEnabled
#2 https://trac.torproject.org/projects/tor/ticket/9387
#8 Si, de hecho ya conocía ese ticket. Pero no cabe duda alguna que hoy en día javascript viene habilitado por defecto y que eso va en detrimiento de la seguridad de los usuarios. Por supuesto, los expertos pueden deshabilitarlo, pero por defecto viene activado y por defecto todo lo expuesto aquí, funciona.
#1 El navegador tor lleva javascript activado por defecto. Esto es lo malo de tor, que hay mucha gente que usa la herramienta sin saber de seguridad informática.
#3 Joe, cuando te lees los manuales por ahí colgados, te explican claramente lo de las diferentes opciones de seguridad de TOR, la gente ya...
#4 Ya se ve que algunos como #1 no leen una mierda. Me pregunto cuántos entrarán en facebook/gmail desde tor.
#3 De hecho, es uno de los mayores peligros de tor. Que todavía requiere entender muchas cosas para intentar ser realmente anónimo. El propio #1 estaba completamente convencido de que javscript viene deshabilitado por defecto en tor browser, y no es así.
Esto abre un debate sobre la falsa sensación de seguridad y anonimato que puede dar tor si no sabes usarlo muy bien, y los riesgos que ello conlleva... pero esto que comentamos no es nada nuevo
#6 Y ni tan siquiera tener ciertos conocimientos te garantiza ser realmente anónimo, ante un adversario que tiene control de la red a nivel de Estado o a nivel mundial.