JavaScript vs. TOR

Что такого браузер может послать по https?

Хотя бы то что у Вас на самом деле не тот тип браузера за который Вы пытаетесь его выдать, а именно браузер-v.xxx-xxx.-2008.02.13-linux-v.xxx-distr-xxx-v-xxx-compatible-xxx
с поддержкой специфических расширений, кодировкой по умолчанию xxx-x, с редкой локалью языка племени Майя и антарктическим часовым поясом.

Хотя бы то что у Вас на самом деле не тот тип браузера за который Вы пытаетесь его выдать, а именно браузер-v.xxx-xxx.-2008.02.13-linux-v.xxx-distr-xxx-v-xxx-compatible-xxx

Из браузеров которые позволяют из-под интерфейса сменить показываемую идентификацию я знаю только один: konqueror, однако он тянет за собой kde и сам вопрос о его собственных дырах открыт. Поидее, единственное правильное решение – запретить показывать отличную от нужной идентификацию в самих сорсах браузера. Или вы можете предложить какие-либо более простые on-the-fly-решения? Или директивно запрещать https для браузеров под тором? – Это тоже не все браузеры, думаю, позволяют... Ещё один трик – настраивать браузер на работу из под специального юзера с очень ограниченными правами с принудительным зарутиванием всего исходящего от такого юзера трафика в сеть тор... Блин, всё вспоминается старый вопль по поводу всей этой темы в целом... как говорится, идут года а воз и ныне там – ни одного сколь-нибудь адекватного браузера (в т.ч. и в плане security).

разработчики идут по пути наименьшего сопротивления, чтобы привлечь большинство пользователей, выбирают может не самый безопасный, но самый гибкий и легкомодифицируемый Firefox, для которого делают расширение torbutton, которое все эти проблемы решает (причём актуально это делает находясь только в стадии вечной альфы).

Про то что Firefox в значительной мере дыряв, неаккуратен и избыточен разработчики естественно в курсе.

Есть специфическая проблема ещё такого популярного браузера как Файрфокс: он малополезен без плагинов-расширений, а их обновления никак не подписаны

...

И сравнение суммы происходит ... через javascript, который если отключить, то в браузер можно будет ставить левые обновления.

Если речь идёт о пользовании FF без заботы об анонимности, то полагаю что отключение JS только увеличит безопасность если плагинов нет (кстати, это не такой-то и редкий случай :)).

Для других браузеров аналога torbutton к сожалению нет, который фильтрует утечки информации лучше privoxy, кроме того делает это на стороне самого браузера, что решает проблему утечек через https, который privoxy (и другие proxy) фильтровать не могут.

Так что достаточно вставить на страницу https ссылку на невидимую картинку и privoxy в плане фильтрации становится бесполезен, он годися только для перенаправления трафика в tor.

Проблема, как я понимаю, в том, что трафик между браузером и удалённым сервером зашифрован. Соответственно, прокси (например, Privoxy) не может его фильтровать. Тогда решение – плагин для браузера, который будет пропускать уже расшифрованный трафик сквозь прокси. Может быть, такое есть для FF?

firefox <– torbutton <– [privoxy] <– tor

Вот torbutton всё и фильтрует в самом браузере.

Кажется, Torbutton и Privoxy – разные вещи.

Было бы здорово иметь возможность фильтровать https трафик и через Privoxy тоже. Иначе может быть опасно использовать возможности Privoxy вообще (кроме отправки DNS запросов в Tor) – ведь они не будут работать для многих сайтов.

И ещё такой плагин был бы полезен тем, кто использует любые другие фильтрующие локальные прокси.

Было бы здорово иметь возможность фильтровать https трафик и через Privoxy тоже.

Обсуждалось, что это слишком рисковано. Proxy может перехватывать трафик и подменять его, но тогда браузер не сможет понять, не был ли он перехвачен где-то посреди линии или локально.

Обсуждалось, что это слишком рисковано. Proxy может перехватывать трафик и подменять его, но тогда браузер не сможет понять, не был ли он перехвачен где-то посреди линии или локально.

Как Privoxy может изменять зашифрованный трафик? Предварительно подменив сетификат?

В случае с плагином не будет ничего плохого. Броузер заходит на сайт, проверяет сертификат, договаривается с сервером о сеансовых ключах (или как там в SSL полагается?). Приходит зашифрованная страница, броузер проверяет подпись, расшифровывает и так далее. Если что-то не так – сообщаем о проблемах пользователю. Всё хорошо – плагин отправляет страницу в наш локальный прокси (Privoxy). Мы доверяем прокси, расшифрованный трафик с нашей машины не уходит. Всё безопасно и мы обрабатываем сквозь Privoxy и https тоже, не только http.

Гость (07/11/2008 19:15),

firefox <– torbutton <– [privoxy] <– tor

Всё хорошо – плагин отправляет страницу в наш локальный прокси (Privoxy). Мы доверяем прокси, расшифрованный трафик с нашей машины не уходит.

Обратите внимание, где в этой схеме находится прокси. Каким образом, по-вашему, можно увязать обе цитаты? Как плагин браузера будет общаться с прокси?

Единственная возможность обработки SSL — перенести работу с SSL-шифрованием из браузера в прокси. Какие это влечёт риски, Вам уже ответили.

Обратите внимание, где в этой схеме находится прокси. Каким образом, по-вашему, можно увязать обе цитаты? Как плагин браузера будет общаться с прокси?

Отвлечёмся от Privoxy, Tor'а, вообще от прокси – из-за них возникает путаница. Просто есть желание фильтровать https трафик через внешнюю программу. Обычно броузер на сайтах с https получает зашифрованную страницу, расшифровывает, отрисовывает её на экране. Но есть другой вариант – броузер получает зашифрованную страницу, расшифровывает (проверяя всё, что следует), отдаёт плагину, плагин фильтрует html-текст страницы через какую-то внешнюю программу и отдаёт полученное от внешней программы назад броузеру для отрисовки.

Когда я раньше говорил, что "плагин передаёт расшифрованную страницу в прокси", http-прокси был упомянут просто как пример интерфейса между плагином и внешней программой. Он может быть и другим, например, stdin/stdout – указываем в настройках плагина программу sort, получаем вместо нормальных страниц (в том числе и https) отсортированную мешанину.

Если вернуться к Privoxy, это могло бы выглядеть так: есть две Privoxy – одна на 8118 порту, вторая на 8119. Первая настроена только отдавать трафик в Tor, никаких фильтров. Вторая – только фильтровать заголовки, резать рекламу, ну и всё прочее, чем занимается Privoxy. В настройках броузера указан прокси localhost:8118, в настройках нашего гипотетического плагина – localhost:8119. Мы запрашиваем страницу, броузер передаёт управление плагину. Плагин пропускает запрос сквозь фильтрующую Privoxy на 8119, там меняется user-agent, удаляется referer и прочее. Дальше действует броузер, наш отфильтрованный запрос будет отправлен в первую Privoxy, которая перенаправит его в Tor, оттуда же придёт зашифрованная страница. Первая Privoxy (которая на 8118, которая перенаправляет трафик в Tor) не будет пытаться что-то сделать со страницей, просто отдаст её броузеру. Браузер расшифрует страницу, если с ней какие-то проблемы – сообщит пользователю, иначе отдаст расшифрованную страницу плагину. Плагин передаст страницу в Privoxy на порту 8119 для фильтрации, там будут удалены потенциально опасные элементы, и после этого страница будет отображена броузером.

Вот так :-)

Извините, не понимаю, зачем городить весь этот огород. Для ограничения опасного javascript'а есть TorButton, для вырезания рекламы — Adblock. Есть ещё туча всяческих плагинов для Firefox, предназначенных для контроля содержимого.

Плагин передаст страницу в Privoxy на порту 8119 для фильтрации, там будут удалены потенциально опасные элементы, и после этого страница будет отображена броузером.

Предложили отвлечься от Provixy и сами же к нему вернулись. Теоретически, да, фильтрация через внешнюю программу/скрипт могла бы быть полезной, но не через Privoxy. Это же прокси. Ну, получит от страницу от плагина, а куда ему её дальше девать? Как вернуть обратно после обработки?

Извините, не понимаю, зачем городить весь этот огород. Для ограничения опасного javascript'а есть TorButton, для вырезания рекламы — Adblock. Есть ещё туча всяческих плагинов для Firefox, предназначенных для контроля содержимого.

Ну... Privoxy – хорошая вещь. При работе с Tor'ом многие пользуются ею.
Что мне сейчас не нравится – у Privoxy есть полезные возможности, но пользоваться ими нельзя (бессмысленно), так как любой желающий может при помощи SSL-соединения обойти Privoxy.
Да и отдельное специализированное приложение в любом случае должно быть предпочтительнее, чем туча плагинов.

Предложили отвлечься от Provixy и сами же к нему вернулись.

Только для первых двух абзацев, чтобы всё же объяснить, о чём речь :-)

Ну, получит от страницу от плагина, а куда ему её дальше девать? Как вернуть обратно после обработки?

Технически? Думаю, это решаемая проблема. Первое, что приходит в голову – плагин открывает для себя ещё один порт (понятно, будет нужен бинарник, а не стандартный лисовский плагин), а фильтрующая копия Privoxy настраивается на передачу трафика на этот порт.

Правда. Проверим делом. Зайдем на сайт http://leader.ru/secure/who.html через сайт http://hidemyass.com/ используя "безопасный" браузер Опера или Файерфокс. Если джаваскрипты в браузере отключены, то увидим один из дежурных айпишников хайдмайаса (67.159.44.138), но если же они не отключены, то скрипт Саши Ежова сразу же выдаст наш реальный айпи.

Теперь запускаем связку Тор + Привокси, активируем в браузере петлю 127.0.0.1:8118 и повторяем эксперимент. Ситуация изменилась. Вначале Саша показывает нам 67.159.44.138, но потом страница вдруг перегружается и адрес меняется на торовский 87.234.205.226. Теперь наш асс действительно хайд, а Тору наше спасибо.

Правда ли, что есть такие JavaScript, которые могут узнать мой IP и др. информацию

Правда.

Правда только отчасти. Дело не в Tor'е и Provixy, как таковых. Результат зависит от того, что прокси передаёт в HTTP-заголовках. Просто Tor не передаёт ничего сверх того, что выдаёт последний узел; даже фильтрация Privoxy не нужна. А вот этот hidemyass.com плохо выполняет задачу, отражённую в своём названии. ;-)

В качестве проверки запустите Firefox, убедитесь, что javascript включен, в настройках соединения выберите ручную настройку, очистите все поля, а в поле SOCKS-прокси укажите 127.0.0.1 и порт 9050 (т.е. только через Tor, минуя Privoxy). Зайдите на http://leader.ru/secure/who.html и смотрите IP.