Het Tor Project is niet van plan om Mozilla Firefox als basis voor Tor Browser door Google Chrome te vervangen, ook al wordt dat wel door een beveiligingsbedrijf aangeraden. Tor Browser bestaat uit Firefox en software om verbinding met het Tor-netwerk te maken.
Via het Tor-netwerk kunnen gebruikers hun IP-adres afschermen en gecensureerde websites bezoeken. Daarnaast biedt Tor Browser verschillende andere opties die de privacy van gebruikers verder beschermen. In mei van dit jaar kreeg beveiligingsbedrijf iSEC Partners van het Open Technology Fund de opdracht om de beveiliging van Tor Browser te controleren, maatregelen te onderzoeken om de beveiliging aan te scherpen, naar een overzicht van bekende Firefox-lekken te kijken en andere zaken om het aanvalsoppervlak te verkleinen.
Het onderzoek leverde verschillende punten op. Zo blijkt Address Space Layout Randomization (ASLR) op zowel Windows als Mac te zijn uitgeschakeld. Dit is een beveiligingsmaatregel die misbruik van een beveiligingslek lastiger moet maken. Een oplossing voor Windows zou binnenkort moeten verschijnen, aangezien het probleem hier al bekend was. Dat geldt echter niet voor Mac OS X. Om het probleem hier op te lossen moet er een 64-bit versie van Tor Browser voor Mac OS X worden gecompileerd.
Verder kreeg het Tor Project het advies om aan de Pwn2Own-wedstrijd mee te doen. Dit is een jaarlijks evenement waarbij hackers en onderzoekers worden uitgedaagd om kwetsbaarheden in veel gebruikte browsers en browserplug-ins te vinden. Ook moet het gebruik van de Microsoft Enhanced Mitigation Experience Toolkil (EMET) op Windows worden getest en uiteindelijk aan gebruikers worden geadviseerd. EMET is ontwikkeld om het aanvallen van onbekende lekken lastiger te maken of tegen te gaan.
iSEC Partners adviseerde ook om op Google Chrome over te stappen. Chrome biedt namelijk een sandbox, wat een belangrijke beveiligingsmaatregel is. Firefox beschikt nog altijd niet over een sandbox, ook al heeft Mozilla tien ingenieurs op de ontwikkeling ervan gezet. Verder ondersteunt Chrome ook andere aanvullende beveiligingsmaatregelen en innovaties. Toch wordt een overstap niet overwogen. Het budget voor het browserproject is nog steeds beperkt ten opzichte van de privacyeigenschappen die volgens het Tor Project belangrijk zijn.
De Tor-ontwikkelaars stellen dat Firefox een veel kosteneffectiever platform is, met name vanwege het veelzijdige extensie-systeem, de degelijke proxy-ondersteuning en aan te passen gebruikersinterface. Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy en features die belangrijk voor Tor zijn. In het verleden zou er al zijn samengewerkt met Google, maar bleken er verschillende hindernissen te zijn als het om Tor-specifieke features en aanpassingen ging.
Hoewel het Tor Project Google Chrome niet wil uitsluiten, zou het op dit moment inhouden dat er nog meer aanpassingen aan Tor browser moeten worden verricht dan met Firefox het geval is. "Mozilla Firefox blijft voor ons het beste platform om te demonstreren dat het mogelijk is om echte "privacy by design" voor het web te bieden voor de mensen die het willen", zegt Mike Perry van het Tor Project.
Deze posting is gelocked. Reageren is niet meer mogelijk.