Ein Torbutton-Fehler (Debian bug #595375) sorgt dafür, dass Iceweasel einen erkennbaren User-Agent ausgibt, wenn die Einstellung "Spoof US English Browser" deaktiviert ist, was in T(A)ILS 0.5 der Fall ist.

Auswirkungen

Systemadministratoren, Webmaster und jeder, der in der Lage ist, die Logs einer Website zu lesen, kann unter den Besuchern diejenigen herausfinden, die eine betroffene Torbutton-Erweiterung verwenden und die Einstellung "Spoof US English Browser" ausdrücklich deaktiviert haben.

While T(A)ILS users are obviously not the only ones in this case, such a bug eases fingerprinting.

The client IP address recorded in the webserver logs for such a connection is the one of the Tor exit node used by the T(A)ILS user at this time.

Solution

Upgrade to T(A)ILS 0.6.

Mitigation on T(A)ILS 0.5

The following steps need to be done immediately after boot, before running Iceweasel.

Run the following command in a terminal:

gksudo gedit /etc/iceweasel/profile/user.js

... this opens a text editor. Delete the line that says:

user_pref("extensions.torbutton.spoof_english", false);

... dann speichern und beenden. Sie können nun Iceweasel ausführen.

Beware! Changing this setting in the Torbutton preferences window is not effective.

Affected versions

Torbutton 1.2.5, included in T(A)ILS 0.5