Anonimiseringssoftware Tor is niet kwetsbaar voor de SSL-aanval die afgelopen vrijdag door twee onderzoekers werd gedemonstreerd. Via de BEAST SSL-aanval zou een aanvaller de versleutelde sessie van een slachtoffer kunnen overnemen. Hiervoor moet de aanvaller dan wel tussen de website en de gebruiker zitten. Vervolgens kan de aanvaller via het injecteren van code in de browser en een netwerksniffer het HTTPS cookie stelen en ontsleutelen.

De aanval gebruikt een probleem met de "initialization vector" binnen ciphertext berichten. Tor is hiervoor niet kwetsbaar, omdat het een feature van OpenSSL gebruikt die tussen alle verstuurde records een leeg TLS-record stopt. Daardoor zijn de initialization vectoren van de echte berichten willekeurig en niet meer door de aanvaller af te leiden.

Feature
Het had weinig gescheeld of Tor was wel kwetsbaar voor de aanval geweest. In 2008 werd overwogen om de "empty fragment" feature van OpenSSL, die nu zo belangrijk blijkt te zijn, te schrappen. Het ontwikkelteam kwam hier echter nooit aan toe en laat nu weten dat het de feature gewoon laat zitten, zo laat het in deze blogposting weten.