Аутентификация TOR
Подскажите, пожалуйста, две вещи по ТОР:
– почему он не хочет работать без установленной настройки "пароль" в аутентификации
и второе, главное – собственно, а что он делает с этим паролем, как использует? вот захожу я на сайт с такой настройкой, и?
Для ControlPort только, а не SockPort.
Т.е. мораль в том, что firefox (или видалия?) аутентифицируется на ControlPort Tor'а, после чего Tor начинает различать firefox от любого другого приложения даже под тем же юзером, заворачивая трафик чужих приложений в отдельные цепочки?
Вот ещё один интересный момент:
Не очень понятно, что такое клиентский адрес. Если речь идёт о сетевых адресах, то у всех юзеров одной ОС этот адрес будет одинаковым, т.е. эта опция от обсуждаемой атаки не помогла бы. Тот факт, что помогает IsolateSOCKSAuth, скорее похож на удачный misuse для защиты от данной атаки, чем на продуманную защиту.
Там вообще какой-то треш и угар, куча тикетов на тему: 8117, 8879. Повеселило:
Кто бы сомневался. Есть, правда, одна позитивная вещь: защититься легко, зная об этом заранее. Достаточно не запускать левые сетевые проги во время работы TBB или написать нормальные правила firewall'а, фильтрующие на lo.
Карма у меня плохая. Поглядел в /tmp — нашёл leak. Вспомнил про шрифты — а вот они все и вытягиваются. Начали снова говорить про SockPort — и тут полный фатал. Надо было в тестеры идти, но кто ж меня научит.
Для SockPort эта вся изоляция. Изначально речь шла про работу одного небольшого офиса через один Tor клиент. Задача была помешать вот этому самому, только в роли скайпа выступает сосед по офису. И эта изоляция уже включена в 0.2.3.х и строго рекомендуема. Все прочие изоляции были прикручены уже к этой идее, и как бонус позволяют изолировать цепочки для разных программ запускаемые локально вместе с тором. На практике такая изоляция, как например по паролю, не работает из-за ошибок в других частях кода.
Пора уже запускать скайпы на отдельных устройствах. Каждому приложению по отдельному устройству к 2020!
Да, каждому зловреду по отдельной виртуалке.
В changelog'е к последнему релизу есть какая-то движуха по теме: