В браузере Tor исправили крупную «дыру» для слежки за пользователями

Разработчики популярного браузера для приватного веб-серфинга выпустили новую версию приложения. Помимо устранения ряда багов и оптимизации, Tor лишился важного недостатка предыдущих сборок - уязвимости, которая позволяла сайтам идентифицировать пользователей.

Речь идет о механизме, который в мае 2021 года обнаружили эксперты компании FingerprintJS. Как выяснилось, во многих современных браузерах отслеживать пользователей можно с помощью доступа к перечню установленных приложений на устройствах. Для этого создается специальный профиль, который открывает различные обработчики URL-адресов. Они же, в свою очередь, проверяют, есть ли на устройстве то или иное приложение - и обращается ли оно к специфическому адресу или нет.

Используя перебор обработчиков URL-адресов, механизм формирует список установленных на конкретном устройстве приложений, а самому пользователю присваивается уникальный идентификатор. Подобная схема отслеживания уже давно работает в популярных браузерах вроде Chrome, Edge, Firefox, Safari. В Tor Browser версии 10.0.18 уязвимость была закрыта - для параметра network.protocol-handler.external разработчики установили значение false. Создатели приложения порекомендовали пользователям как можно скорее установить апдейт, открыв меню "Помощь" - "О браузере Tor".