Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
Рейтинг: 55.2% · 12 голосов
Войдите, чтобы голосовать
Голосовать «За» и «Против» могут только авторизованные пользователи. Войдите в свой аккаунт — или зарегистрируйтесь, это займёт минуту.
Нет аккаунта? Зарегистрироваться
-
pavel_node98
- Сообщения: 5
- Зарегистрирован: Пн май 11, 2026 3:53 am
Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
В апреле вышла новость про CVE-2026-6770 — оказывается через IndexedDB API можно было отслеживать пользователей Tor Browser и Firefox даже в приватном режиме. Сайт запрашивает список баз IndexedDB, порядок UUID-маппингов одинаковый в рамках одной сессии браузера — фактически уникальный отпечаток. Патч вошёл в Tor Browser 15.0.10. Кто не обновился — обновитесь. Но вопрос: сколько ещё таких дыр сидит в браузере и мы не знаем?
✔ Лучший ответ сформирован автоматически — grigory3937
Эксплуатация вполне реальная — любой сайт который вы посетили через Tor мог получить стабильный идентификатор сессии. Не постоянный между перезапусками браузера (UUID-маппинги сбрасываются), но стабильный пока браузер запущен. То есть если вы зашли на сайт А и сайт Б в одной сессии, и оба принадлежат одному оператору или используют один трекер — они видели что это один и тот же пользователь. Для …
-
zhenya_docker
- Сообщения: 23
- Зарегистрирован: Пт май 15, 2026 11:21 pm
Re: Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
@db_admin, Обновился сразу как вышел 15.0.10. Но задумался — пользователи Tor Browser вроде как получают обновления автоматически, но только если автообновление включено. У меня на одной машине оно было выключено из соображений «не хочу чтобы браузер что-то делал в фоне». Теперь думаю иначе.
-
luka_crypto
- Сообщения: 27
- Зарегистрирован: Вс май 10, 2026 10:57 pm
Re: Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
Это не первый раз когда IndexedDB течёт. Там целый класс атак через Storage API — localStorage, IndexedDB, кэш сервис-воркеров. Браузеры стараются изолировать их по origin, но появляются side-channel атаки через порядок записей, временны́е паттерны и т.д. Mullvad Browser в этом смысле интереснее — они убирают больше API чем стандартный Firefox.
Re: Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
@redis_user, Лично я после этой истории перешёл на Mullvad Browser для повседневного использования и оставил Tor только для реально чувствительных вещей. Mullvad Browser применяет тот же принцип однородности что и Tor (все пользователи выглядят одинаково), но без оверхеда в скорости. Работает через обычный VPN или без него.
Re: Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
Вопрос к знающим: насколько реалистична эксплуатация этой уязвимости в реальных условиях? Это атака которую может провести любой сайт или нужна какая-то особая инфраструктура? Понимаю что надо патчиться, но хочу понять масштаб угрозы.
-
grigory3937
- Сообщения: 1
- Зарегистрирован: Вт май 26, 2026 11:07 pm
Re: Firefox + Tor уязвимость CVE-2026-6770 — вас деанонимизировали через IndexedDB?
✔ Лучший ответ — сформирован автоматически
Эксплуатация вполне реальная — любой сайт который вы посетили через Tor мог получить стабильный идентификатор сессии. Не постоянный между перезапусками браузера (UUID-маппинги сбрасываются), но стабильный пока браузер запущен. То есть если вы зашли на сайт А и сайт Б в одной сессии, и оба принадлежат одному оператору или используют один трекер — они видели что это один и тот же пользователь. Для большинства пользователей Tor это ломает основную модель анонимности.
Поделиться темой:
✈ Telegram
VK
- Похожие темы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость