wiki/src/security/Iceweasel_exposes_a_rare_User-Agent.mdwn

   1 [[!meta date="Fri Sep 3 01:15:14 2010"]]
   2 [[!meta title="Iceweasel exposes a rare User-Agent"]]
   3
   4 [[!tag security/fixed]]
   5
   6 A Torbutton bug ([[!debbug 595375]]) makes Iceweasel expose a
   7 recognizable User-Agent when the "Spoof US English Browser" setting is
   8 disabled, which is the case in T(A)ILS 0.5.
   9
  10 # Impact
  11
  12 System administrators, webmasters and anyone able to read the logs of
  13 a website are able to single out, amongst the visitors, the ones that
  14 are using an affected Torbutton extension *and* have explicitly
  15 disabled the "Spoof US English Browser" setting.
  16
  17 While T(A)ILS users are obviously not the only ones in this case, such
  18 a bug eases fingerprinting.
  19
  20 The client IP address recorded in the webserver logs for such a
  21 connection is the one of the Tor exit node used by the T(A)ILS user at
  22 this time.
  23
  24 # Solution
  25
  26 Upgrade to T(A)ILS 0.6.
  27
  28 # Mitigation on T(A)ILS 0.5
  29
  30 The following steps need to be done immediately after boot, **before**
  31 running Iceweasel.
  32
  33 Run the following command in a terminal:
  34
  35         gksudo gedit /etc/iceweasel/profile/user.js
  36
  37 ... this opens a text editor. Delete the line that says:
  38
  39         user_pref("extensions.torbutton.spoof_english", false);
  40
  41 ... then save and quit. You can now run Iceweasel.
  42
  43 Beware! Changing this setting in the Torbutton preferences window is
  44 **not** effective.
  45
  46 # Affected versions
  47
  48 Torbutton 1.2.5, included in T(A)ILS 0.5