Аутентификация TOR

Подскажите, пожалуйста, две вещи по ТОР:
– почему он не хочет работать без установленной настройки "пароль" в аутентификации
и второе, главное – собственно, а что он делает с этим паролем, как использует? вот захожу я на сайт с такой настройкой, и?

На страницу: 1, 2 След.

Комментарии

—	*Гость* (11/08/2013 20:13) <#>

>по логину и паролю для сокс порта

Для ControlPort только, а не SockPort.

Don't share circuits with streams for which different SOCKS authentication was provided.

Т.е. мораль в том, что firefox (или видалия?) аутентифицируется на ControlPort Tor'а, после чего Tor начинает различать firefox от любого другого приложения даже под тем же юзером, заворачивая трафик чужих приложений в отдельные цепочки?

Вот ещё один интересный момент:

IsolateClientAddr

Don’t share circuits with streams from a different client address. (On by default and strongly recommended; you can disable it with NoIsolateClientAddr.)

Не очень понятно, что такое клиентский адрес. Если речь идёт о сетевых адресах, то у всех юзеров одной ОС этот адрес будет одинаковым, т.е. эта опция от обсуждаемой атаки не помогла бы. Тот факт, что помогает IsolateSOCKSAuth, скорее похож на удачный misuse для защиты от данной атаки, чем на продуманную защиту.

—	*Гость* (11/08/2013 20:34) <#>

>Firefox не умеет в пароли без запросов со стороны сервера, никаких опций. Значит "элементарный полный деанон".

>Бага про это

Там вообще какой-то треш и угар, куча тикетов на тему: 8117, 8879. Повеселило:

username "", password "" is a valid username and password as far as we're concerned.

Кто бы сомневался. Есть, правда, одна позитивная вещь: защититься легко, зная об этом заранее. Достаточно не запускать левые сетевые проги во время работы TBB или написать нормальные правила firewall'а, фильтрующие на lo.

Карма у меня плохая. Поглядел в /tmp — нашёл leak. Вспомнил про шрифты — а вот они все и вытягиваются. Начали снова говорить про SockPort — и тут полный фатал. Надо было в тестеры идти, но кто ж меня научит.

—	*Гость* (11/08/2013 20:53) <#>

>Для ControlPort только, а не SockPort.

Для SockPort эта вся изоляция. Изначально речь шла про работу одного небольшого офиса через один Tor клиент. Задача была помешать вот этому самому, только в роли скайпа выступает сосед по офису. И эта изоляция уже включена в 0.2.3.х и строго рекомендуема. Все прочие изоляции были прикручены уже к этой идее, и как бонус позволяют изолировать цепочки для разных программ запускаемые локально вместе с тором. На практике такая изоляция, как например по паролю, не работает из-за ошибок в других частях кода.

Пора уже запускать скайпы на отдельных устройствах. Каждому приложению по отдельному устройству к 2020!

—	*Гость* (11/08/2013 22:01) <#>

Спасибо за пояснение.

>Пора уже запускать скайпы на отдельных устройствах. Каждому приложению по отдельному устройству к 2020!

Да, каждому зловреду по отдельной виртуалке.

—	*Гость* (31/12/2013 16:05) <#>

> Фигня этими с паролями для изоляции. Firefox не умеет в пароли без запросов со стороны сервера, никаких опций.

> Там вообще какой-то треш и угар, куча тикетов на тему: 8117, 8879.

В changelog'е к последнему релизу есть какая-то движуха по теме:

Major bugfixes (stream isolation):

Allow applications to get proper stream isolation with IsolateSOCKSAuth. Many SOCKS5 clients that want to offer username/password authentication also offer "no authentication". Tor had previously preferred "no authentication", so the applications never actually sent Tor their auth details. Now Tor selects username/password authentication if it's offered. You can disable this behavior on a per-SOCKSPort basis via PreferSOCKSNoAuth. Fixes bug 8117; bugfix on 0.2.3.3-alpha.
Follow the socks5 protocol when offering username/password authentication. The fix for bug 8117 exposed this bug, and it turns out real-world applications like Pidgin do care. Bugfix on 0.2.3.2-alpha; fixes bug 8879.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]