Звук в браузере
Зашел через заторенный огнелис с включенным торббаттоном (дефолтные настройки) и выключенными J, JS и Flah (через Flashblock и Quickjava) на один сайт, у меня начала воспроизводиться музыка на компе, что очень меня насторожило (с точки зрения возможной деанонимизации).
К сожалению, снифферы у меня не были включены, и я не смог выяснить, пошла ли утечка пакетов не через тор.
Каким образом может воспроизводиться звук при посещение веб-сайта, если указанные плагины выключены? Чем это угрожает для анонимности? И что за эксплойт там может быть?
P. S. Если я после этого безобразия снесу локальные пользовательские настройки огнелиса в хомяке этого пользователя, насколько это может спасти меня от возможного заражения эксплойтом? Что еще могло быть поражено им? (Какие папки локальных настроек в хомяке на всякий случай сносить?)
P. P. S. ОС – Debian Lenny AMD64, Iseweales 3.0.6, Tor v0.2.1.22, Privoxy version 3.0.9, Torbutton 1.2.0, Flashblock 1.5.11.2, Quickjava 0.4.2.1
Дата релиза:
С музыкой скорей всего не связано, но в более свежих версиях были правки множества своих багов и "фичей" браузера.
комментариев: 9796 документов: 488 редакций: 5664
Tor у меня этот:
Т.е. с сайта торпроекта, а не из дистра.
А вот privoxy похоже из дебиановского дистра:
Ну и с torbutton получается такая же беда.
Какие надо сделать записи в соурс.листе, чтобы их с сайта торпроекта получать? Не могу найти что-то.
комментариев: 9796 документов: 488 редакций: 5664
Privoxy некритичен. При использовании TB он лишь заворачивает трафик в Tor, а можно даже и без него, но это как подстраховка.
С TB ситуация хуже — пакет собран самой командой Debian, но торпроектом пакет не поддерживаются. Т.е. пакет с плагином нужно удалить, а плагин ставить вручную, через https://torproject.org. После взлома серверов проекта спохватились ещё, что gpg-подпись ставится только на исходники, но не готовую сборку плагина.
Буквально сейчас в рассылке обсуждается, что https — полумера, подпись на сертификат выдаётся коммерческими компаниями, при взломе сайта пакет могут подменить и сертификат тут не поможет (а вот gpg-подпись помогла бы), копии плагина на зеркалах мозиллы вообще модифицируются мозиллодержателями без ведома авторов — туда вставляются уведомления о совместимости с новыми версиями FF, так что подпись там не применить.
Пока с https://torproject.org и подпись сравнивать вручную, вот по этой ссылке можете увидеть, что они стали выкладывать подпись только вчера.
У меня вот что выходит:
комментариев: 11558 документов: 1036 редакций: 4118
Там походу подпись какая-то неполная:
комментариев: 11558 документов: 1036 редакций: 4118
2. Положите оба в один каталог.
3. Сделайте gpg -d filename.asc
комментариев: 1060 документов: 16 редакций: 32
И ключик ещё как-то надо проверить ;)
У меня такой отпечаток отображается:
BECD 90ED D1EE 8736 7980 ECF8 1B0C A30C DDC6 C0AD
И ключик где брать?!
комментариев: 9796 документов: 488 редакций: 5664
Скачаем ключ
Никем из разработчиков его ключ кстати не подписан, придётся доверять по факту того, что скачали с https сайта. Мог бы автор TB (Майк) Роджера попросить подписать свой ключ. Похоже, нет его и среди разработчиков Debiana, иначе он бы получил кучу подписей из большой связки и входил в debian-keyring, что объясняет также отсутствие готовых актуальных пакетов с TB для Debian.
Теперь можно проверять, если оба файла лежат в одной директории:
Всё-таки подписывались плагины раньше. Это только даты у файлов на сервере вчерашним числом.
P. S. Гость, который ставит TB на Debian — успехов в дальнейшем изучении gpg. Читайте manы, задавайте вопросы в подходящих ветках форума.
комментариев: 11558 документов: 1036 редакций: 4118
Майк писал в рассылке, что ему было лениво выкладывать подписи. И это разработчики системы безопасности! Что мы после этого можем требовать от остальных? :-)