wiki/src/security/Iceweasel_exposes_a_rare_User-Agent.mdwn

   1 [[!meta date="Fri, 03 Sep 2010 01:15:14 +0000"]]
   2 [[!meta title="Iceweasel exposes a rare User-Agent"]]
   3 [[!pagetemplate template="news.tmpl"]]
   4
   5 [[!tag security/fixed]]
   6
   7 A Torbutton bug ([[!debbug 595375]]) makes Iceweasel expose a
   8 recognizable User-Agent when the "Spoof US English Browser" setting is
   9 disabled, which is the case in T(A)ILS 0.5.
  10
  11 # Impact
  12
  13 System administrators, webmasters and anyone able to read the logs of
  14 a website are able to single out, amongst the visitors, the ones that
  15 are using an affected Torbutton extension *and* have explicitly
  16 disabled the "Spoof US English Browser" setting.
  17
  18 While T(A)ILS users are obviously not the only ones in this case, such
  19 a bug eases fingerprinting.
  20
  21 The client IP address recorded in the webserver logs for such a
  22 connection is the one of the Tor exit node used by the T(A)ILS user at
  23 this time.
  24
  25 # Solution
  26
  27 Upgrade to T(A)ILS 0.6.
  28
  29 # Mitigation on T(A)ILS 0.5
  30
  31 The following steps need to be done immediately after boot, **before**
  32 running Iceweasel.
  33
  34 Run the following command in a terminal:
  35
  36         gksudo gedit /etc/iceweasel/profile/user.js
  37
  38 ... this opens a text editor. Delete the line that says:
  39
  40         user_pref("extensions.torbutton.spoof_english", false);
  41
  42 ... then save and quit. You can now run Iceweasel.
  43
  44 Beware! Changing this setting in the Torbutton preferences window is
  45 **not** effective.
  46
  47 # Affected versions
  48
  49 Torbutton 1.2.5, included in T(A)ILS 0.5