Privoxy, Tor и https

Т.е. https нарушает анонимность в случае, если целевой сервер враждебен.

Всё верно.

Не делается ли этого в известном плагине Torbutton к FireFox (не заменяет ли он Privoxy)?

Делается. При использовании текущей экспериментальной версии Torbutton необходимость в Privoxy отпадает. Есть ещё полностью настроенный пакет TorBrowser (на основе Firefox с расширениями и Polipo).

Возможен ли перехват и подмена открытых ключей при создании цепочки или они все подписываются?

Все ключи Tor-узлов заверены ключами корневых узлов, которые, в свою очередь, вшиты в дистрибутив программы. Таким образом, если Вы располагаете достоверной копией программы, подмена ключей исключена. Если интересуют некоторые нетривиальные соображения на по этому вопросу, смотрите эту большую тему.

установил пакет vidalia-bundle-0.2.0.31-0.1.9.exe и возник вопрос: если установлен Torbutton и отмечена галочка "использовать Privoxy", то "настройки безопасности" в Torbutton 1.2.0 дополняют настройки в Privoxy 3.0.6 в файлах default.action, user.action, standard.action или модифицируют их?

Дополняют.

SATtva:
Как я сказал, используйте для Firefox в качестве http-прокси Privoxy — 127.0.0.1:8118 (чтобы избежать хитрого и простого трюка с выявлением Вашего реального адреса, укажите этот же прокси и для FTP. FTP в этом случае не будет работать, но не будет происходить и утечки Вашего IP, если на злоумышленном сайте одна из картинок будет находиться на

а где лучше это указать: в файле Privoxy или в настройке Torbutton на вкладке "настройка прокси/установить параметры прокси вручную"?

еще вопрос, Torbutton 1.2.0 может удалять из https-запросов небезопасные заголовки, если да, то в какой настройке это прописано?

а где лучше это указать: в файле Privoxy или в настройке Torbutton на вкладке "настройка прокси/установить параметры прокси вручную"?

Если Privoxy у Вас установлен в комплекте с Tor и другими программами (bundle), то в его настройки своими руками лучше не лезть, если не уверены, чего именно хотите добиться (Ваш случай судя по всему). Torbutton во включенном состоянии сам правильно устанавливает IP и порты для поддерживаемых браузером протоколов (в том числе и FTP), так что не старайтесь его перемудрить.

еще вопрос, Torbutton 1.2.0 может удалять из https-запросов небезопасные заголовки, если да, то в какой настройке это прописано?

Torbutton одинаково обрабатывает и HTTPS, и HTTP, вносить какие-то специальные настройки не требуется. Основные параметры обработки хидеров находятся во вкладке Security Settings > Headers. Есть и другие, влияющие на хидеры косвенно; описывать здесь всё не вижу смысла.

User:
Torbutton во включенном состоянии сам правильно устанавливает IP и порты для поддерживаемых браузером протоколов (в том числе и FTP)

У меня при включении Torbutton происходит изменение настроек в Firefox на вкладке "Дополнительно/Сеть/Настроить" с "Без прокси" на "Ручная настройка сервиса прокси" с уже заполненными полями, но поле "FTP прокси" там пустое, если в Torbutton отмечена галочка "использовать Privoxy".

Я еще хочу запретить Firefox идти в обход Privoxy. Тогда в поле "Узел SOCKS" нужно указать 127.0.0.1 порт 8118 вместо 9050?

но поле "FTP прокси" там пустое, если в Torbutton отмечена галочка "использовать Privoxy".

Privoxy — это HTTP-прокси, он в любом случае не способен транслировать и обрабатывать FTP-трафик. Если поле FTP пустое, но при этом заполнено поле SOCKS (собственно, так и делает Torbutton), то именно указанный socks-прокси используется для FTP-трафика, т.е. FTP траслируется напрямую в Tor. Короче говоря, настройки, предлагаемые Torbutton, предназначены для корректной работы и отсутствия утечек.

Я еще хочу запретить Firefox идти в обход Privoxy. Тогда в поле "Узел SOCKS" нужно указать 127.0.0.1 порт 8118 вместо 9050?

Ещё раз повторю: Privoxy — это HTTP-прокси, а не socks-прокси. Порт 8118 — это стандартный порт Privoxy (http-прокси), порт 9050 — это порт Tor'а (socks-прокси). Tor способен принимать любой трафик (tcp-трафик, если быть точным), Privoxy — только http-трафик. Указывать порт Privoxy в качестве socks-прокси глупо — он просто не будет работать.

Если Вы используете Torbutton, то он уже устанавливает наиболее подходящие настройки. Не пытайтесь его перемудрить. По крайней мере до тех пор, пока не станете более компетентным, чем разработчик этого расширения.

SATtva, большое спасибо за понятные комментарии. Я тоже всегда вручную правил эти поля, так как в описаниях на сайте Тора такого вразумительного объяснения работы этой связки не находил. Мне, как непрофессионалу, тоже всегда казалось, что в этих настройках кроется какое-то противоречие. Спасибо.

Пожалуйста. Обращайтесь ещё. :-)

Добрый день

Не подскажете, как настроить Privoxy чтобы можно было открывать url с указанием порта.
Например www.site.com:8114, где site это нужный мне домен, я не могу открыть – получаю пустую страницу.
Убираю http(s) прокси, оставляю один только ТОР на socks и всё работает.

Что делаю не так?

Это странно. У меня вроде бы такое работало, и точно работало для скрытых ресурсов тор (мануальное указание отличного от умолчального порта).

Если www.site.com:8114 открываете по HTTPS, нужно добавить этот порт (8114) в разрешённые HTTPS-порты Privoxy.

Если поле FTP пустое, но при этом заполнено поле SOCKS (собственно, так и делает Torbutton), то именно указанный socks-прокси используется для FTP-трафика, т.е. FTP траслируется напрямую в Tor. Короче говоря, настройки, предлагаемые Torbutton, предназначены для корректной работы и отсутствия утечек.

подскажите плиз почему тогда здесь советуют в поле FTP-Proxy писать localhost.
А Torbutton это поле оставляет пустым.
Где истина?

А Torbutton это поле оставляет пустым.

Tb – очень глубокая настройка внутренних штук ff, возможно, потому он позволяет достичь цели и без прописывания ftp-proxy. FF вроде бы поддерживает socks5, tor – также socks5 (?), тогда можно указать в качестве прокси socks и не мучаться: все протоколы пойдут через socks. Другие браузеры, например, не поддерживают работу в socks-прокси, потому там приходится извращаться с http- и https-прокси. В то же время, privoxy удобна тем, что она фильтрует http-страницы, потому отказываться от неё полностью не предпочтительно. В связи с этим tb в ff (как я понимаю) оставляет порт privoxy для http, а для остального – указывает порт тора как socks-прокси.
P. S.: честно говоря, там всё достаточно запутанно. Лучше все соединения, идущие не в tor, закрыть fw'ом и не мучаться. Как-то так для pf:
lh = "localhost" ... pass in on $lo0 inet proto tcp from $lh to $lh port 8118 user privoxy pass out on $lo0 inet proto tcp from $lh to $lh port 9050 user privoxy pass out on $lo0 inet proto tcp from $lh to $lh port {8118,9050} user tor_user ... После такого хрен пользователь tor_user пошлёт хоть что-нибудь на адрес:порт, отличные от 127.0.0.1:8118 и 127.0.0.1:9050. Заметьте, что закрыть таким образом порты намного проще, чем настроить полноценную прозрачную проксификацию.