Tor umožňuje nejen anonymní připojení uživatelů, ale také jednotlivých služeb (popsali jsme v článku). Při takovém nasazení dostane server doménové jméno s koncovkou .onion a obě komunikující strany jsou pak anonymizovány. Uživatel nezná provozovatele serveru a obráceně. Ars Technica varuje před tím, že výchozí nastavení Apache umožňuje odhalit pravou identitu serveru.
Může za to modul mod_status, který je ve výchozím stavu v mnoha distribucích zapnutý. Umožňuje vypsat podrobné informace o serveru včetně počtu spojení či údajů o posledním požadavku. Dovoluje tak například ukrást uživatelskou session nebo zjistit další podrobnosti o serveru včetně jeho pravé identity.
Pokud tedy server není uzavřen ve virtuálním prostředí a slouží pro servírování obsahu dalších běžných webů, je možné si ze zjištěných údajů spojit A a B a dojít si za skutečným provozovatelem. K vydolování informací stačí za adresu serveru přidat /server-status. Apache běžně stránku zobrazí jen na localhostu, ale Tor démon běží z localhostu, takže se k údajům dostane.
Blog WireFlaw upozorňuje na to, že takto je nastavena celá řada služeb včetně velkých fór nebo vyhledávačů v síti Tor. Oprava je přitom celkem snadná: stačí vypnout zmíněný mod_status.
ČLÁNKY DO MAILU