id: Гость   вход   регистрация
текущее время 18:51 29/03/2024
Автор темы: Гость, тема открыта 01/08/2008 01:18 Печать
Категории: анонимность
http://www.pgpru.com/Форум/АнонимностьВИнтернет/ОпределениеIP-адресаЧерезJavaScriptВВЕБ-обозревателе
создать
просмотр
ссылки

Определение IP-адреса через JavaScript в ВЕБ-обозревателе


В случае установки пакета fileVidalia содержащего fileTOR и Privoxy какова вероятность / возможность определния IP-адреса клиента по возможности встраивания в ВЕБ-страницу специального JavaSacript'а который бы определил IP-адрес клиента и отослал HTTP-ответом обратно на сервер, учитывая тот факт что ВЕБ-браузер используется через TOR а весь HTTP-трафик проходит через HTTP-фильтр Privoxy.


P. S. В документации к Privoxy что от разработчиков написанно что всячески подобные опасности Privoxy должен вырезать из HTTP/HTTPS потока а значит ВЕБ-браузер должен получать уже безопасный HTTP/HTTPS трафик, не так-ли Господа?!


 
Комментарии
— Гость (01/08/2008 01:53)   <#>
Дело в том, что браузер – одна из самых дырявых программ на PC. Большинство дыр, найденных в браузере, используют JS. В этом смысле, легпльных способов узнать ваш IP через идеальный секъюрный браузер с включённым JS нет, а вот что касается реальности... Настоятельно советую прочитать этот и особенно этот топики, вместе со всеми комментариями. Особо обратите внимание на то, что писал unknown. Там есть исчерпывающие развёрнутые ответы на выши вопросы.
— unknown (01/08/2008 09:21, исправлен 01/08/2008 09:29)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
подобные опасности Privoxy должен вырезать из HTTP/HTTPS потока а значит ВЕБ-браузер должен получать уже безопасный HTTP/HTTPS трафик, не так-ли Господа?!

...да в ссылках на предыдущие топики это действительно обсуждалось. В целом:

Из HTTPS потока не нарушив целостности выполнения протокола HTTPS ничего вырезать нельзя. В протоколе HTTPS соединение между браузером и сервером зашифровано с защитой от "человека-по-средине", встроить посредине proxy-фильтр нереально. Privoxy пропускает HTTPS-трафик нефильтрованным, поэтому privoxy для обеспечения анонимности отчасти устарел, т.к. создавался очень давно (разработчики Tor хотят от него отказаться, но всё никак не решаются). Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.

Если вам необходимо использовать javascript, то можете его временно не отключать полностью, а использовать Firefox и расширение Torbutton, которое фильтрует все исходящие от браузера данные (в т.ч. по HTTPS) и блокирует некоторые опасные функции яваскрипта.

Но учтите, что при работе через Tor безопасных сайтов (кроме корректно проверенных по HTTPS, как например https://www.pgpru.com) не существует. Любой исходящий узел сети может модифицировать направляемый вам трафик, внося эксплойты для браузеров в просматриваемые вэб-страницы, подменяя скачиваемые файлы на лету и т.д.

Хотя в меньшей степени, но это присуще и для обычного Интернета – многие массовые сайты (к примеру новостных агенств) легко взламываются и туда тоже ставят эксплойты против браузеров.
— Гость (01/08/2008 11:41)   <#>
Используйте виртуальную машину, а снаружи Tor.
— Гость (01/08/2008 13:53)   <#>
Как завернуть весь трафик виртуальной машины в Tor?
— Constantine____ru__ (01/08/2008 19:47)   <#>
С помощью соответствующих правил iptables, например.
— Гость (02/08/2008 00:22)   <#>
Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.

Даже самое первое правило privoxy, принуждающее к заворотке всего трафика на 9050ый порт?!
— ygrek (03/08/2008 09:22)   профиль/связь   <#>
комментариев: 98   документов: 8   редакций: 10
Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.
Даже самое первое правило privoxy, принуждающее к заворотке всего трафика на 9050ый порт?!

Конечно нет. Имеется ввиду все настройки фильтрации. Помните что privoxy логически состоит из двух частей — обычный прокси-редиректор и фильтратор. HTTPS трафик редиректится точно так же как и любой другой, а вот фильтровать его содержимое (практически) невозможно — собственно ради этого он и используется :)
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3