Firefox-bug laat deel dns-requests Tor-gebruikers uitlekken
Een beveiligingsprobleem in de nieuwste versie van Firefox zorgt ervoor dat een deel van de dns-requests van Tor-gebruikers kan worden afgeluisterd. Dns-verzoeken voor websockets-verkeer worden namelijk niet getunneld verstuurd.
Dns-verzoeken voor websockets-verkeer worden niet naar de socks-proxy gestuurd, maar naar de in het besturingssysteem geconfigureerde dns-server. Dat heeft Tor bekendgemaakt. Daardoor kunnen bezoeken naar sites met websockets worden onderschept.
Er is inmiddels een fix voor Tor beschikbaar die het probleem verhelpt door dns-requests naar de lokale dns-resolver te blokkeren, wanneer het dns-verkeer via een socks-proxy verloopt. Ook gebruikers van Firefox die niet via Tor surfen, maar wel via een socks-proxy, zijn kwetsbaar. Mozilla is op de hoogte gesteld, maar een update die het probleem verhelpt is er nog niet.
De oorspronkelijke melder van de bug schrijft dat het 'niet de eerste keer' is dat een zeldzame bug in Firefox ervoor zorgt dat Tor wordt omzeild. "En het zal zeker niet de laatste zijn", waarschuwt hij. De ontdekker stelt daarom voor om Firefox 'in een soort firewall' te draaien zodat alle packets die niet via Tor worden getunneld, worden geweigerd.
Tor levert de Firefox-browser mee met zijn browser-bundel; de software wordt onder meer door dissidenten in dictaturen gebruikt om anoniem te kunnen surfen.
Reacties (28)
Beetje slordig, maar kan gebeuren. Fijn dat Tor zo snel een update heeft uitgebracht, en Mozilla kennende zal Firefox ook snel een update krijgen.
'Beetje slordig' is wel een understatement als je persoonlijke veiligheid van een dergelijk mechanisme afhangt.
Mah, in feite moet je dingen maar relativeren hoor.
Ik denk dat je doelt op het feit dat je in bepaalde landen graag anoniem wilt blijven, omdat ze daar niet gediend zijn van bepaalde dingen. Laten we dan ook eerlijk zijn dat FF daar niet verantwoordelijk voor is en dat het dan risico van het vak is om voor in DAT land illegale dingen te doen.
Ik denk dat je doelt op het feit dat je in bepaalde landen graag anoniem wilt blijven, omdat ze daar niet gediend zijn van bepaalde dingen. Laten we dan ook eerlijk zijn dat FF daar niet verantwoordelijk voor is en dat het dan risico van het vak is om voor in DAT land illegale dingen te doen.
(misschien ben je van na 1984 en dus te jong of te weinig algemeen ontwikkeld om dat te snappen 
, zie andere discussie, maar...)
Dat je iets anoniem wilt doen betekent niet dat dat meteen een illegale en/of ongewenste bezigheid is. Voorbeelden varieeren van iets dat perfect legaal is maar om PR-redenen misschien niet zo handig, zoals een minister-president die op een chatbox voor homo's zit terwijl hij voor de buitenwereld netjes getrouwd is.. Of iets dat prima legaal is maar na een wijziging van het regime ineens niet meer. Of iets dat volgens internationale wetten legaal is maar wat je wel op zware sancties kan komen te staan omdat een ander zich niet aan die wetten houdt. Of wil je zeggen dat bijvoorbeeld kritische berichten over een dictator naar buiten sturen of op enige wijze over mensenrechten rapporteren iets is waar straf op zou moeten kunnen staan?
Bovendien, nog los van wat je er precies mee doet... Beveiliging die niet doet wat je ervan verwacht is per definitie ongewenst. Kijk naar de talloze datalekken van de afgelopen tijd.
En tenslotte nog even ter relativering: Bij het plotseling wijzigen van een regime hoef je heus niet aan dictaturen te denken. Zo is over het koffieshopbeleid in Nederland ook het laatste woord nog niet gezegd nu er een ruk richting de onredelijkheid heeft plaatsgevonden. De andere raakvlakken van die discussie zijn hier ook aanwezig: Bij verplichte registratie en het uitlekken daarvan, kan je naam opeens in verband worden gebracht met -opzich legaal- gebruik van softdrugs. Dat komt ook niet altijd zo goed uit.
, zie andere discussie, maar...)Dat je iets anoniem wilt doen betekent niet dat dat meteen een illegale en/of ongewenste bezigheid is. Voorbeelden varieeren van iets dat perfect legaal is maar om PR-redenen misschien niet zo handig, zoals een minister-president die op een chatbox voor homo's zit terwijl hij voor de buitenwereld netjes getrouwd is.. Of iets dat prima legaal is maar na een wijziging van het regime ineens niet meer. Of iets dat volgens internationale wetten legaal is maar wat je wel op zware sancties kan komen te staan omdat een ander zich niet aan die wetten houdt. Of wil je zeggen dat bijvoorbeeld kritische berichten over een dictator naar buiten sturen of op enige wijze over mensenrechten rapporteren iets is waar straf op zou moeten kunnen staan?
Bovendien, nog los van wat je er precies mee doet... Beveiliging die niet doet wat je ervan verwacht is per definitie ongewenst. Kijk naar de talloze datalekken van de afgelopen tijd.
En tenslotte nog even ter relativering: Bij het plotseling wijzigen van een regime hoef je heus niet aan dictaturen te denken. Zo is over het koffieshopbeleid in Nederland ook het laatste woord nog niet gezegd nu er een ruk richting de onredelijkheid heeft plaatsgevonden. De andere raakvlakken van die discussie zijn hier ook aanwezig: Bij verplichte registratie en het uitlekken daarvan, kan je naam opeens in verband worden gebracht met -opzich legaal- gebruik van softdrugs. Dat komt ook niet altijd zo goed uit.
[Reactie gewijzigd door mae-t.net op donderdag 3 mei 2012 14:50]
Is eigenlijk standaard gedrag voor elke browser. DNS-request worden (zelfs met een proxy) gewoon verstuurd naar de DNS-server van het systeem. Het OS moet de DNS-requests afhandelen en niet de browser.
Je kan in about:config wel forceren dat het ook de DNS-request over de proxy stuurt, maar standaard is het niet.
Het enige wat je Firefox kan verwijten is dat ze hun documentatie niet meer up to date brengen, maar eigenlijk is het geen bug.
Je kan in about:config wel forceren dat het ook de DNS-request over de proxy stuurt, maar standaard is het niet.
Het enige wat je Firefox kan verwijten is dat ze hun documentatie niet meer up to date brengen, maar eigenlijk is het geen bug.
Nee, bij het gebruik van een proxy moet de proxy dat doen. Anders kun je helemaal geen clients achter een proxy hebben compleet zonder internetconnectiviteit, waar DNS ook onder valt.Is eigenlijk standaard gedrag voor elke browser. DNS-request worden (zelfs met een proxy) gewoon verstuurd naar de DNS-server van het systeem. Het OS moet de DNS-requests afhandelen en niet de browser.
Het doen van DNS requests met een ingestelde proxyserver heeft maar 1 doel: kijken of het op te vragen adres in de uitzonderingslijst staat. Als die leeg is hoort een browser helemaal geen DNS requests te doen bij het gebruiken van een proxyserver.
"deel dns-requests"
Da's wel een erg klein deel dus, want zo vaak worden geen websockets gebruikt. Toch is het inderdaad wel een erg slordige fout.
Da's wel een erg klein deel dus, want zo vaak worden geen websockets gebruikt. Toch is het inderdaad wel een erg slordige fout.
Dat is irrelevant. Bij opsporing / chantage is het een prima manier een ip-adres (en dus verdachte) te achterhalen.
Ik weet dat dit een beetje trollerig is, maar dit wordt zeker een Major release voor firefox om deze bug te fixen. Ik weet niet wat ze de laatste tijd bij FF aan het doen zijn, maar het is traag, er zitten fouten in en ze zijn bezig met een versie explosie. Als ze zo door gaan zullen ze echt nooit meer een match worden voor Chrome...
Een *beetje* trollerig? Pas sinds de agile stragie van firefox is begonnen gaat het een beetje lekker met firefox en beginnen ze chrome bij te halen. Wanneer begrijpen mensen nou dat net zoals chrome die versie nummers niks betekenen... en waarom maakt iedereen zich er bij firefox druk om en bij chrome niet 
Hoe dan ook, deze bug fixen zal wel goed gaan lukken.
Hoe dan ook, deze bug fixen zal wel goed gaan lukken.
Volgens mij staat echt nergens het versienummer meer van Chrome. Je hebt Chrome en niet Chrome 18 of wat het ook mag zijn. Bij FireFox doen ze dit dus nog wel.
Waar dan? In Firefox staat het versienummer één keer in het about-dialog en in Chrome staat het er 2 keer. Oja en bij Firefox staat het in de naam van de installer.
Maar wat dan nog? Waarom is het voor Chrome wel oke en voor Firefox is het ineens alsof hell froze over?
Maar wat dan nog? Waarom is het voor Chrome wel oke en voor Firefox is het ineens alsof hell froze over?
[Reactie gewijzigd door Ramon op donderdag 3 mei 2012 14:33]
Geen idee hoelang jij al mee doet maar Firefox heeft altijd met een nummer aangeduid. En na de "nieuwe" Firefox, 4, hebben zijn niet meer gewerkt met kleinere patches en een soort van LTS versies van clients, maar zijn ze gaan optellen. Inmiddels zitten we op 12 afaic. Op de site duiden ze het overigens niet aan.
Wat is je punt? We zijn toch niet meer bij Firefox 3.6 of 4?
Omdat bij Chrome alle updates automatisch installeren en bij firefox moesten tot kort geleden de grote updates nog wel handmatig worden geïnstalleerd.
Handmatige installaties zorgen er voor dat er veel mensen nog met een oude FF versie rondlopen. Bij Chrome is dat niet en draait bijna iedereen gewoon de laatste versie.
Handmatige installaties zorgen er voor dat er veel mensen nog met een oude FF versie rondlopen. Bij Chrome is dat niet en draait bijna iedereen gewoon de laatste versie.
Dat valt echt wel mee hoor. De adoptie-ratio van Firefox is best goed. Ja niet zo goed als Chrome met zijn onzichtbare updates, maar toch.
Firefox: http://static.arstechnica...2012-04-4fa0885-intro.png
Chrome: http://static.arstechnica...2012-04-4fa0885-intro.png
sterker nog. Ik vind de adoption rate juist erg goed voor iets wat je elke 6 weken handmatig moest doen...
Ik kan me niet voorstellen dat de haat die tweakers hebben jegens het nieuwe updatemodel komt "omdat er mensen met oude versies blijven zitten".
Firefox: http://static.arstechnica...2012-04-4fa0885-intro.png
Chrome: http://static.arstechnica...2012-04-4fa0885-intro.png
sterker nog. Ik vind de adoption rate juist erg goed voor iets wat je elke 6 weken handmatig moest doen...
Ik kan me niet voorstellen dat de haat die tweakers hebben jegens het nieuwe updatemodel komt "omdat er mensen met oude versies blijven zitten".
Probably because they do themselves?Een *beetje* trollerig? Pas sinds de agile stragie van firefox is begonnen gaat het een beetje lekker met firefox en beginnen ze chrome bij te halen. Wanneer begrijpen mensen nou dat net zoals chrome die versie nummers niks betekenen... en waarom maakt iedereen zich er bij firefox druk om en bij chrome niet
Mij maakt het geen biet uit, maar releasen om je versie nummer hoger te krijgen dan IE en Opera is buitengewoon kansloos
Ik betwijfel wel iemand prio's wanneer hij zijn nummertje belangrijker vindt dan de inhoud...Inderdaad een troll, gefeliciteerd!
Bij mij draait Firefox super op 2 desktops en 2 laptops. Nieuwste versie pas nog bij kennis geinstalleerd op een oude desktop met XP en 128MB geheugen, draaide als een zonnetje. (geen addins geinstalleerd wel)
Ik gebruik Chrome ook. Maar doe toch veel meer Firefox. Al was het alleen maar dat ik in firefox een sidebar kan installeren zodat ik links direct naar de juiste mappen kan slepen en openen. Ook links direct in mappen op de bladwijzerbalk kunnen slepen werkt zo veel handiger dat ik firefox niet wil missen.
Gegeugengebruik is tegenwoordig minder dan Chrome. Snelheid van opstarten is razendsnel danzij de nieuwe optie "pagina's pas laden na selecteren". Daardoor kan nu rustig 100 tabs open laten staan, de pagina's worden alleen geladen als ik daadwerkelijk op de tab klik. Helpt ook weer in het geheugengebruik.
De extensies zijn niet alleen kwalitatief beter dan in Chrome, er zijn veel meer verschillende en ze hebben ook meer mogelijkheden. Zo kan ik in Firefox met een sneltoets of swipe zo plaatjes downloaden. In chrome kunnen dat soort dingen niet. Video's downloaden kan ook niet gemakkelijk in chrome omdat Google zulke extensies weert in verband met rechten.
Pagina's laadt Firefox net zo snel als Chrome behoudens enkele extreme pagina's met hopen ongecomprimeerde images. Het enige wat Chrome nog echt voor heeft is dat het code laat draaien in een sandbox. Maar gewoon in gebruik kan het echt niet op tegen firefox.
Ik heb zelf een paar jaar alleen maar Chrome gebruikt omdat Firefox achterliep in snelheid. Dat is al zeker een jaar niet meer. Inmiddels draai ik toch al weer een tijdje voornamelijk Firefox. Ik vind het ook erg prettig dat Firefox nu net als google automatisch update.
Ik heb zo weinig problemen op al mijn pc's met hele verschillende specs met firefox dat ik me afvraag waarom sommige mensen altijd weer problemen melden. Misschien moeten ze hun systeem eens een keer opnieuw installeren. Zelf gebruik ik overigens de portable versies van Chrome en Firefox. Soweiso verkies ik portable versies als het kan om het systeem schoon te houden, maar bij firefox heeft dit bovendien het voordeel dat de tijdelijke bestanden lekker in het geheugen worden gehouden, wat een hoop schrijf en leesacties en fragmentatie scheelt op de schijf (kan je overigens ook instellen).
Bij mij draait Firefox super op 2 desktops en 2 laptops. Nieuwste versie pas nog bij kennis geinstalleerd op een oude desktop met XP en 128MB geheugen, draaide als een zonnetje. (geen addins geinstalleerd wel)
Ik gebruik Chrome ook. Maar doe toch veel meer Firefox. Al was het alleen maar dat ik in firefox een sidebar kan installeren zodat ik links direct naar de juiste mappen kan slepen en openen. Ook links direct in mappen op de bladwijzerbalk kunnen slepen werkt zo veel handiger dat ik firefox niet wil missen.
Gegeugengebruik is tegenwoordig minder dan Chrome. Snelheid van opstarten is razendsnel danzij de nieuwe optie "pagina's pas laden na selecteren". Daardoor kan nu rustig 100 tabs open laten staan, de pagina's worden alleen geladen als ik daadwerkelijk op de tab klik. Helpt ook weer in het geheugengebruik.
De extensies zijn niet alleen kwalitatief beter dan in Chrome, er zijn veel meer verschillende en ze hebben ook meer mogelijkheden. Zo kan ik in Firefox met een sneltoets of swipe zo plaatjes downloaden. In chrome kunnen dat soort dingen niet. Video's downloaden kan ook niet gemakkelijk in chrome omdat Google zulke extensies weert in verband met rechten.
Pagina's laadt Firefox net zo snel als Chrome behoudens enkele extreme pagina's met hopen ongecomprimeerde images. Het enige wat Chrome nog echt voor heeft is dat het code laat draaien in een sandbox. Maar gewoon in gebruik kan het echt niet op tegen firefox.
Ik heb zelf een paar jaar alleen maar Chrome gebruikt omdat Firefox achterliep in snelheid. Dat is al zeker een jaar niet meer. Inmiddels draai ik toch al weer een tijdje voornamelijk Firefox. Ik vind het ook erg prettig dat Firefox nu net als google automatisch update.
Ik heb zo weinig problemen op al mijn pc's met hele verschillende specs met firefox dat ik me afvraag waarom sommige mensen altijd weer problemen melden. Misschien moeten ze hun systeem eens een keer opnieuw installeren. Zelf gebruik ik overigens de portable versies van Chrome en Firefox. Soweiso verkies ik portable versies als het kan om het systeem schoon te houden, maar bij firefox heeft dit bovendien het voordeel dat de tijdelijke bestanden lekker in het geheugen worden gehouden, wat een hoop schrijf en leesacties en fragmentatie scheelt op de schijf (kan je overigens ook instellen).
[Reactie gewijzigd door Magalaan op donderdag 3 mei 2012 15:04]
Dus met andere woorden: Mozilla doet dit bewust met het doel, dingen die via Tor (horen) lopen, te kunnen onderscheppen?De oorspronkelijke melder van de bug schrijft dat het 'niet de eerste keer' is dat een zeldzame bug in Firefox ervoor zorgt dat Tor wordt omzeild. "En het zal zeker niet de laatste zijn", waarschuwt hij.
Zou me eigenlijk niet echt verbazen, zou niet de eerste keer zijn dat software developers dingen doen/toevoegen e.d. in opdracht van overheden.
Gelukkig hebben de developers van Tor nu een work-around gemaakt zodat mensen die Tor gebruiken toch nog volledig anoniem kunnen browsen.
Nee, browsermakers kunnen gewoon niet voldoende rekening houden met diverse plugins die in de HTTP-stack willen 'inbreken' om even een proxy te gebruiken of een request om te leiden 
Dat is ook de reden dat TOR ipv alleen plugins ook complete browser-bundles levert via https://www.torproject.org/download/download
Dat is ook de reden dat TOR ipv alleen plugins ook complete browser-bundles levert via https://www.torproject.org/download/download
Ik geloof best dat ontwikkelaars dat doen, maar NIET op een open source platform lijkt me?[...]
Dus met andere woorden: Mozilla doet dit bewust met het doel, dingen die via Tor (horen) lopen, te kunnen onderscheppen?
Zou me eigenlijk niet echt verbazen, zou niet de eerste keer zijn dat software developers dingen doen/toevoegen e.d. in opdracht van overheden.
Gelukkig hebben de developers van Tor nu een work-around gemaakt zodat mensen die Tor gebruiken toch nog volledig anoniem kunnen browsen.
Eerder van dat ze niet kunnen garanderen nooit meer een bug in dit systeem te maken.
Heb je ook last van dit probleem als je standaard DNSCrypt gebruikt?
http://www.opendns.com/technology/dnscrypt/
Heb ik nml. aan staan in mn router.
http://www.opendns.com/technology/dnscrypt/
Heb ik nml. aan staan in mn router.
About:config -> network.proxy.socks_remote_dns -> true
Dit zou ervoor moeten zorgen dat alle dns requests door de proxy gedaan worden?
http://kb.mozillazine.org/Network.proxy.socks_remote_dns
Dit is ook een noodzakelijke optie om dns leaks te voorkomen wanneer je bv een anonieme vpn zoals perfectprivacy gebruikt .
Dit zou ervoor moeten zorgen dat alle dns requests door de proxy gedaan worden?
http://kb.mozillazine.org/Network.proxy.socks_remote_dns
Dit is ook een noodzakelijke optie om dns leaks te voorkomen wanneer je bv een anonieme vpn zoals perfectprivacy gebruikt .
[Reactie gewijzigd door gg141717 op donderdag 3 mei 2012 17:24]
Wow, en in bold ook nog eens. Neem een groter fontje.
Wat als ik gewoon niet door Big Brother gecontroleerd wil worden bij alles dat ik online doe? Sinds wanneer zijn mijn zaken niet meer mijn zaken en sinds wanneer ben ik bij voorbaat schuldig?
Je zou eens met mensen uit het voormalig oostblok moeten praten.
Wat als ik gewoon niet door Big Brother gecontroleerd wil worden bij alles dat ik online doe? Sinds wanneer zijn mijn zaken niet meer mijn zaken en sinds wanneer ben ik bij voorbaat schuldig?
Je zou eens met mensen uit het voormalig oostblok moeten praten.
Ja, en hier hebben we auto's om te rijden, maar in afganistan worden die vooral gebruikt als rijdend mitrailleur.
Alsjeblieft zeg.
Alsjeblieft zeg.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
