Определение IP-адреса через JavaScript в ВЕБ-обозревателе
В случае установки пакета Vidalia содержащего TOR и Privoxy какова вероятность / возможность определния IP-адреса клиента по возможности встраивания в ВЕБ-страницу специального JavaSacript'а который бы определил IP-адрес клиента и отослал HTTP-ответом обратно на сервер, учитывая тот факт что ВЕБ-браузер используется через TOR а весь HTTP-трафик проходит через HTTP-фильтр Privoxy.
P. S. В документации к Privoxy что от разработчиков написанно что всячески подобные опасности Privoxy должен вырезать из HTTP/HTTPS потока а значит ВЕБ-браузер должен получать уже безопасный HTTP/HTTPS трафик, не так-ли Господа?!
комментариев: 9796 документов: 488 редакций: 5664
...да в ссылках на предыдущие топики это действительно обсуждалось. В целом:
Из HTTPS потока не нарушив целостности выполнения протокола HTTPS ничего вырезать нельзя. В протоколе HTTPS соединение между браузером и сервером зашифровано с защитой от "человека-по-средине", встроить посредине proxy-фильтр нереально. Privoxy пропускает HTTPS-трафик нефильтрованным, поэтому privoxy для обеспечения анонимности отчасти устарел, т.к. создавался очень давно (разработчики Tor хотят от него отказаться, но всё никак не решаются). Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.
Если вам необходимо использовать javascript, то можете его временно не отключать полностью, а использовать Firefox и расширение Torbutton, которое фильтрует все исходящие от браузера данные (в т.ч. по HTTPS) и блокирует некоторые опасные функции яваскрипта.
Но учтите, что при работе через Tor безопасных сайтов (кроме корректно проверенных по HTTPS, как например https://www.pgpru.com) не существует. Любой исходящий узел сети может модифицировать направляемый вам трафик, внося эксплойты для браузеров в просматриваемые вэб-страницы, подменяя скачиваемые файлы на лету и т.д.
Хотя в меньшей степени, но это присуще и для обычного Интернета – многие массовые сайты (к примеру новостных агенств) легко взламываются и туда тоже ставят эксплойты против браузеров.
Даже самое первое правило privoxy, принуждающее к заворотке всего трафика на 9050ый порт?!
комментариев: 98 документов: 8 редакций: 10
Конечно нет. Имеется ввиду все настройки фильтрации. Помните что privoxy логически состоит из двух частей — обычный прокси-редиректор и фильтратор. HTTPS трафик редиректится точно так же как и любой другой, а вот фильтровать его содержимое (практически) невозможно — собственно ради этого он и используется :)