English French
[[!meta date="Fri, 03 Sep 2010 01:15:14 +0000"]]
[[!meta date="Fri, 03 Sep 2010 01:15:14 +0000"]]
[[!meta title="Iceweasel exposes a rare User-Agent"]]
[[!meta title="Iceweasel envoie un en-tête User-Agent peu commun"]]
[[!pagetemplate template="news.tmpl"]]
[[!pagetemplate template="news.tmpl"]]
[[!tag security/fixed]]
[[!tag security/fixed]]
A Torbutton bug ([[!debbug 595375]]) makes Iceweasel expose a recognizable User-Agent when the "Spoof US English Browser" setting is disabled, which is the case in T(A)ILS 0.5. Un bug dans le bouton Tor ([[!debbug 595375]]) fait que Iceweasel expose un User-Agent reconnaissable lorsque le paramètre « Spoof US English Browser » est désactivé, ce qui est le cas dans T(A)ILS 0.5.
Impact Impact
System administrators, webmasters and anyone able to read the logs of a website are able to single out, amongst the visitors, the ones that are using an affected Torbutton extension *and* have explicitly disabled the "Spoof US English Browser" setting. Les personnes qui administrent les systèmes, les gestionnaires de site Web et toutes celles qui peuvent lire les journaux d'un site web sont capables d'identifier, parmi les personnes qui le visite, celles qui utilisent une version affectée de l'extension du bouton Tor *et* qui ont volontairement désactiver le réglage « Spoof US English Browser ».
While T(A)ILS users are obviously not the only ones in this case, such a bug eases fingerprinting. Comme les personnes qui utilisent T(A)ILS ne sont pas les seules dans ce cas, un tel bug atténue l'identification par empreintes.
The client IP address recorded in the webserver logs for such a connection is the one of the Tor exit node used by the T(A)ILS user at this time. L'adresse IP du client enregistrée dans les journaux du serveur web lors d'une connexion de ce type est celle d'un nœud de sortie Tor utilisé par les personnes utilisant T(A)ILS à cet instant.
Solution Solution
Upgrade to T(A)ILS 0.6. Mise à jour vers T(A)ILS 0.6.
Mitigation on T(A)ILS 0.5 Limiter les effets sur T(A)ILS 0.5
The following steps need to be done immediately after boot, **before** running Iceweasel. Les étapes suivantes doivent être faites immédiatement après le démarrage, **avant** de lancer Iceweasel.
Run the following command in a terminal: Exécuter la commande suivante dans un terminal :
gksudo gedit /etc/iceweasel/profile/user.js
gksudo gedit /etc/iceweasel/profile/user.js
... this opens a text editor. Delete the line that says: ... cela ouvre un éditeur de texte. Supprimer la ligne qui indique :
user_pref("extensions.torbutton.spoof_english", false);
user_pref("extensions.torbutton.spoof_english", false);
... then save and quit. You can now run Iceweasel. ... puis enregistrer et quitter. Vous pouvez maintenant lancer Iceweasel.
Beware! Changing this setting in the Torbutton preferences window is **not** effective. Attention ! Changer ce réglage dans la fenêtre de préférences du bouton Tor n'est **pas** efficace.
Affected versions Versions affectées