HTTP GZIP lekt locatie Tor-websites

Tijdszone wordt meegestuurd door sommige Tor-servers.

Een obscure instelling in het HTTP GZIP compressie-algoritme kan ervoor zorgen dat kwaadwillenden en autoriteiten de tijdzone en algemene locatie van een Tor-server achterhaald kan worden.

Mocht je een Tor-server hebben opgezet of beheren kijk dan even je instellingen na. Jose Carlos Norte, ontwikkelaar van eyeOS, ontdekte dat een deel van de Tor-servers de tijdzone en algemene locatiegegevens meestuurde in de header van met GZIP-gecomprimeerde data.




Door deze gegevens kunnen kwaadwillenden en autoriteiten nakijken waar een server of gebruiker zich bevindt. Beheerders en gebruikers hoeven zich niet direct zorgen te maken. Standaard staat deze optie uitgeschakeld waardoor er alleen maar nullen worden weggeschreven, maar in 10% van alle geteste gevallen bleek er door een aangepaste instelling toch locatie-informatie te worden meegestuurd.

Norte heeft een proof of concept ontwikkeld waarmee beheerders kunnen testen of hun server goed is geconfigureerd. Het script kan hier worden gedownload.

https://github.com/jcarlosn/gzip-http-time