id: Гость   вход   регистрация
текущее время 17:50 28/03/2024
Автор темы: Гость, тема открыта 01/10/2011 23:27 Печать
Категории: софт, анонимность, tor
создать
просмотр
ссылки

Tor Browser Bundle и пакетный Tor


Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!


 
На страницу: 1, ... , 5, 6, 7, 8, 9, ... , 16 След.
Комментарии
— Гость (04/12/2011 18:39)   <#>
Браузер может грохнуться, запоров весь профиль. Он в принципе не должен иметь доступ к закладкам (а вдруг ошибка в браузере — исполнение кода, что тогда?). Потому только
просто хратить в plain text
— Гость (04/12/2011 19:05)   <#>
особенно не разбирается профилирование с помощью браузерных закладок.
А это вообще возможно ли, не считая упомянутых ошибок в коде браузера (в таком случае считывание букмарков может показаться минимальным ущербом)? Если можно ссылку на примеры по "вычитыванию" букмарков.
Кстати сказать, когда я смотрю статистику своих сайтов, там показывает, сколько пользователей сделало закладки на страницы моих сайтов.Мне, конечно, может и приятно "мастурбировать" на эту статистику, пользователям, должно быть, совсем нет. Они об этом даже не задумываются, большинство!!!
Неужели никак нельзя отключить отсылку такой информации на сервер?
Так надо разобраться в механизме такого "распознавания закладчиков", а потом решать насколько это серьёзно и как это оключать.
— unknown (04/12/2011 19:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Доступ к букмаркам, клипборду — такие уязвимости в браузерах были. На сайте: на некоторых одно время была популярна на самой веб-странице кнопка "добавить в закладки".
— Гость (16/12/2011 12:49)   <#>
В общем, последнее время извращался/испражнялся с тем, чтобы при запуске TBB поменять настройки в TB, "натравив" его на системный Tor.
Как уже писал раньше, теперь TBB под прозрачно торифицированным юзером запускается не сразу (сначала происходил фейл, потом надо закрыть видалию и запустить снова), ну а потом убиваю найух видалию и юзерский тор.
Но это еще полбеды. Когда чистишь браузер и меняешь цепочки, приходиться сначала давать команду New Identety (которая не может менять цепочки системного тора), а затем выполнять pkill -1 tor от рута (или через sudo с полномочиями рута).
Только что обнаружил такое: когда пытаешься заюзать New Identity, TBB начинает ругаться, что не может поменять цепочки:

Раньше такого не было (и с этой версией TBB). Не понял, что произошло?
Я понимаю, что разрабы могли прикрутить этот лай, но ведь только что оно так не работало. TBB стало самообновляемым чтоли?
— unknown (16/12/2011 15:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Позднее для вин планировались автоапдейты. Но пока точно ничего такого нет.
— Гость (16/12/2011 18:31)   <#>
TBB стало самообновляемым чтоли?
Не сам бандл целиком, но по умолчанию браузер самостоятельно обновляет расширения. Недавно как раз новый торбаттон нарисовался.
— SATtva (16/12/2011 18:35)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Разве сам TorButton не блокирует по умолчанию загрузку обновлений?
— Гость (16/12/2011 23:21)   <#>
Нет, есть запрет дизайна на загрузку с не аутентичных источников через тор для нужд браузера. Но поскольку в настоящее время известных ошибок в коде браузера не известно и загрузка расширений производится через тор с проверкой аутентичности содержимого, то загрузка обновлений для расширений в TBB (и торбаттоном в частности) не блокируется.
— Гость (17/12/2011 08:55)   <#>
Гыгы, в TBB (в мозилле тббшной) в нстройках add-ons установлено по дефолту автообновление. Вот уж не догадался бы, что параноики на такое способны!
Сам я раньше всегда настравивал FF изначально, чтобы он у меня спрашивал, обновлять или нет
— Гость (17/12/2011 10:09)   <#>
Сам я раньше всегда настравивал FF изначально, чтобы он у меня спрашивал, обновлять или нет
И где там такая настройка есть? При загрузке обновлений самого браузера оно может спрашивать, а вот где вопросы про обновление адд-онов?
— unknown (17/12/2011 13:17)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Tools — Add-ons — вверху возле строки поиска значок настроек, по нему щёлкнуть и выпадает меню. В меню по умолчанию кажется действительно стоит галка "Update Add-ons automatically".
— unknown (18/12/2011 14:41)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Обратил внимание: если не стояла галка "апдейтить дополнения автоматически", то после перераспаковки архива с новой версией TBB (связки), версия TB (кнопки) не поменялась. При выборе "искать обновления дополнений" нашлось и предложилось поменять TB. Если автоапдейт дополнений включён — то версия всегда новая. М.б. действительно, TB может апдейтиться независимо от TBB?
— Гость (11/04/2012 10:30)   <#>
unknown, давайте вернёмся к обсуждениям.

А для TorBrowser не запускать прилагаемый к нему скрипт, который стартует локальный тор, видалию и сам браузер. Лучше запускать непосредственно только ../tor-browser_en-US/App/Firefox/firefox. ک

Если запукать непосредственно, не знаю какая конфигурация firefox запускается (хотя она работает), но луковицы сверху нет. Меня это смущает, потому решил так не делать.

трафик будет дважды заворачиваться в Tor при прозрачной торификации юзера и зверски тормозить. ک

Получить статистику через дважды завёрнутый Tor почти нельзя (если только не ждать по 10 мин), там есть метки ячеек. ک

Попытки выкачать статистику через дважды заторенное соединение, получить ответ сначала от тора, а затем от браузера в видалию об успешно установленом соединении (а иначе в связке никак) стали очень сильно тормозить. Tor не даёт строить цепочки больше трёх узлов, там есть какой-то вероятностный механизм в протоколе, который определяет по ячейкам в трафике, на сколько узлов они отстоят в цепочке, чтобы так не делали (иначе можно было бы задосить Tor-сеть бесконечной цепочкой). Поэтому дважды заторенные соединения почти не работают. ک

В своих ответах в рассылке разработчики об этом умолчали (вероятно потому, что механизм недоделан и несовершенен), но в спеках это есть.

Не берусь судить, что есть в спеках, но я спокойно запустил TB через дважды заторенное соединение (прозрачная торификация на внешнем рутере[создать] + собственный Tor из TB). Ждать, конечно, пришлось, но явно не 10 минут: может быть, минуты 2 — не больше. Да, я согласен, что это тормозит, но один раз можно дождаться финального запуска браузера с видалей и прочими интерфейсными окошечками, чтобы потом их правильно отредактировать.

Есть рабочий вариант как сделать юзера прозрачно торифицированным, а все что идёт через TBB выпускать наружу. Но любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.

Не знаю, интересна ли кому-то такая полупрозрачная полуторификация.

Максимум что теперь можно делать — это выпускать наружу (в т.ч. и из виртуальных машин) весь tcp-трафик от всего, относящегося к TB, не заворачивая его в системный Tor. А в системный tor заворачивать всё остальное от полунедозаторенного пользователя

Ввиду мной выше сказанного, я не вижу в этом необходимости. После того, как TBB через двойное заворачивание в Tor запустился, идём в сетевые настройки Tor'а (в firefox), выбираем пункт «Transparent Torification (Requires custom transproxy or Tor router)», после чего TBB начинает работать напрямую через внешний Tor-рутер. В настройках видалии есть пункт о том, какие приложения надо запускать при старте — я убрал там галочку с Tor'а, чтобы внутренний Tor от TBB не запускался (не знаю, поможет ли это, ещё не проверял).

P.ک: Одним словом, всё совсем не так плохо, так что о чём здесь мы с вами говорили на 7ми страницах — это вопрос :) Или Tor-разработчики только недавно всё починили?
— unknown (11/04/2012 11:05, исправлен 11/04/2012 11:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
  • Таким путём не работает фича "Use new identity" в Видалии. Или надо настроить механизм аутентификации на внешний тор (потенциально поимев с этим проблем). Или пробрасывать какой-то скрипт для управления тором на роутере через ssh (ещё один костыль?). Вопрос также: сбрасывание цепочек — это всё, что делает эта опция в Видалии или что-то ещё (помимо очистки параметров сеанса в браузере)?
  • Не вполне корректно таким образом использовать несколько браузеров и анонимных профилей одновременно (т.к. внешний тор общий, с общими цепочками, гвард-узлами и т.д.). Опять получаем псевдонимность вместо анонимности.

Разработчики похоже также зашли в тупик и не смогли реализовать простой способ сделать тор отдельным пакетом вне состава связки. Может допилят тему с подключением по разным портам, чтобы было несколько разных управляющих портов, так чтобы это всё работало из коробки.

— Гость (16/04/2012 09:17)   <#>

К сожалению, не помогает: при старте видалия ничего не запускает кроме своего окошка, пока не скомандуешь запустить Tor. И вот только запустив свой Tor, она запускает браузер (которому этот Tor, естественно, совершенно не нужен — там transparent proxy). Больше похоже на обычный баг, чем на фичу: не продумали согласованность настроек для такого случая. Впрочем, запуск внутреннего Tor'а (завёрнутого в Tor прозрачной торификацией) быстро происходит, потому неудобство скорее косметическое.


А зачем нужна аутентификация на внешнем Tor'е? Не проще ли отключить Control Port? Он всё равно интересен скорей как фича для дебага.


Дык рутером всё равно надо откуда-то управлять. Создаёте дополнительного доверенного юзера, который может туда логиниться по ssh и всё делать. Тот юзер, которого торифицируем, не сможет туда залогиниться — прав не хватит.


При чём здесь сбрасывание цепочек? Если вы про
пункт о том, какие приложения надо запускать при старте — я убрал там галочку с Tor'а,
то эта опция отключает запуск Tor'а, идущего в поставке с TBB.


Замечание совершенно верное. Если нужен ещё один профиль, то делаем ещё один тунель до рутера, на котором поднимаем ещё одну прозрачную торификацию. В этом примере даны, кстати, настройки для случая двух прозрачных торификаций, но разделение идёт по физически разным сетям1, а не по разным «аутентификациям», хотя и последнее, в принципе, делается2. Другой подход — никогда не пользоваться обоими профилями одновременно: каждый раз сбрасывать все настройки3 и переподнимать Tor заново, когда нужно переключиться на другой профиль (хотя как по мне, это костыль).


Дело не в способе4, а в том, чтобы это работало, не привнося дополнительного профилирования — так будет точнее.


Да, было бы не плохо. Раз в альфе есть, то имеется надежда, что допилят. С другой стороны, я бы на такой механизм в серьёзных случаях полагаться б не советовал. Даже из общих соображений понятно, что если надо разделить нечто на две нескоррелированных части (и так сделать можно), то всё должно быть разное5 — это будет надёжней.


1Т.е. нам понадобились бы разные компьютеры за Tor-рутером.
2Проблема здесь будет в том, что один юзер на машине должен ходить в интернет через один gateway, а другой — через другой, и никогда иначе. Разные gateway'и привязываем к разным туннелям до рутера. Через виртуалки это решается проще всего, но можно и без них (iproute2+iptables).
3Не забывайте, что при переключении надо так же сбросить и состояния (state) в файерволле — уже существующие состояния не убиваются изменением правил. В BSD для этого есть pfctl -k source или pfctl -k source -k dest. Автоматизированного убивания всех стейтов вроде бы нет (хотя можно написать скрипт).
4Так уже было ранее, и это работало, они просто сломали.
5И ОС другая (виртуалка), и Tor другой, и пользователь, под которым это работает, и даже внутренние конфиги в $HOME.
На страницу: 1, ... , 5, 6, 7, 8, 9, ... , 16 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3