Firefox में Tor की पहचान को जोड़ने वाली गोपनीयता त्रुटि मिली
मूल शीर्षक: We found a stable Firefox identifier linking all your private Tor identities
यह क्यों महत्वपूर्ण है
यह गोपनीयता-केंद्रित browsers की मूलभूत सुरक्षा गारंटी को तोड़ता है और cross-site tracking को सक्षम बनाता है।
Fingerprint.com की रिपोर्ट के अनुसार Firefox आधारित ब्राउज़रों में IndexedDB के माध्यम से एक स्थिर पहचानकर्ता मिला जो Tor Browser के 'New Identity' फीचर को भी बायपास कर देता है। Mozilla ने Firefox 150 में यह समस्या ठीक की है।
Fingerprint.com के शोधकर्ताओं ने Firefox आधारित सभी ब्राउज़रों में एक गंभीर गोपनीयता कमजोरी की खोज की है। यह समस्या IndexedDB द्वारा लौटाए गए डेटाबेस entries के क्रम से एक अनोखा और स्थिर पहचानकर्ता बनाने की अनुमति देती है। यह identifier process-scoped है, origin-scoped नहीं, जिससे अलग-अलग वेबसाइटें समान identifier देख सकती हैं और उसी browser runtime के दौरान गतिविधियों को जोड़ सकती हैं। Firefox Private Browsing में यह identifier सभी private windows बंद होने के बाद भी बना रहता है। सबसे चिंताजनक बात यह है कि Tor Browser में यह Tor के 'New Identity' फीचर को भी बायपास कर देता है, जो cookies और history साफ करके पूर्ण reset प्रदान करने के लिए डिज़ाइन किया गया है। Mozilla और Tor Project को जिम्मेदारी से इस issue की जानकारी दी गई। Mozilla ने तुरंत Firefox 150 और ESR 140.10.0 में समाधान जारी किया है। समस्या का समाधान सीधा है - browser को internal storage ordering expose नहीं करनी चाहिए जो process-scoped state दिखाती है।