Определение IP-адреса через JavaScript в ВЕБ-обозревателе


В случае установки пакета [url=https://www.torproject.org/dis.....1.6.exe]Vidalia[/url[link1]] содержащего [url=https://www.torproject.org/dis.....0-win32.exe]TOR[/url[link2]] и [url=http://sourceforge.net/project.....d=11118]Privoxy[/url[link3]] какова вероятность / возможность определния IP-адреса клиента по возможности встраивания в ВЕБ-страницу специального JavaSacript'а который бы определил IP-адрес клиента и отослал HTTP-ответом обратно на сервер, учитывая тот факт что ВЕБ-браузер используется через TOR а весь HTTP-трафик проходит через HTTP-фильтр Privoxy.

P.S. В документации к Privoxy что от разработчиков написанно что всячески подобные опасности Privoxy должен вырезать из HTTP/HTTPS потока а значит ВЕБ-браузер должен получать уже безопасный HTTP/HTTPS трафик, не так-ли Господа?!


Комментарии
Гость (01/08/2008 01:53)   
Дело в том, что браузер – одна из самых дырявых программ на PC. Большинство дыр, найденных в браузере, используют JS. В этом смысле, легпльных способов узнать ваш IP через идеальный секъюрный браузер с включённым JS нет, а вот что касается реальности... Настоятельно советую прочитать этот[link4] и особенно этот[link5] топики, вместе со всеми комментариями. Особо обратите внимание на то, что писал unknown. Там есть исчерпывающие развёрнутые ответы на выши вопросы.
— unknown (01/08/2008 09:21, исправлен 01/08/2008 09:29)   
подобные опасности Privoxy должен вырезать из HTTP/HTTPS потока а значит ВЕБ-браузер должен получать уже безопасный HTTP/HTTPS трафик, не так-ли Господа?!

...да в ссылках на предыдущие топики это действительно обсуждалось. В целом:

Из HTTPS потока не нарушив целостности выполнения протокола HTTPS ничего вырезать нельзя. В протоколе HTTPS соединение между браузером и сервером зашифровано с защитой от "человека-по-средине", встроить посредине proxy-фильтр нереально. Privoxy пропускает HTTPS-трафик нефильтрованным, поэтому privoxy для обеспечения анонимности отчасти устарел, т.к. создавался очень давно (разработчики Tor хотят от него отказаться, но всё никак не решаются). Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.

Если вам необходимо использовать javascript, то можете его временно не отключать полностью, а использовать Firefox и расширение Torbutton, которое фильтрует все исходящие от браузера данные (в т.ч. по HTTPS) и блокирует некоторые опасные функции яваскрипта.

Но учтите, что при работе через Tor безопасных сайтов (кроме корректно проверенных по HTTPS, как например https://www.pgpru.com) не существует. Любой исходящий узел сети может модифицировать направляемый вам трафик, внося эксплойты для браузеров в просматриваемые вэб-страницы, подменяя скачиваемые файлы на лету и т.д.

Хотя в меньшей степени, но это присуще и для обычного Интернета – многие массовые сайты (к примеру новостных агенств) легко взламываются и туда тоже ставят эксплойты против браузеров.
Гость (01/08/2008 11:41)   
Используйте виртуальную машину, а снаружи Tor.
Гость (01/08/2008 13:53)   
Как завернуть весь трафик виртуальной машины в Tor?
— Constantine____ru__ (01/08/2008 19:47)   
С помощью соответствующих правил iptables, например.
Гость (02/08/2008 00:22)   
Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.

Даже самое первое правило privoxy, принуждающее к заворотке всего трафика на 9050ый порт?!
— ygrek (03/08/2008 09:22)   
Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.
Даже самое первое правило privoxy, принуждающее к заворотке всего трафика на 9050ый порт?!

Конечно нет. Имеется ввиду все настройки фильтрации. Помните что privoxy логически состоит из двух частей — обычный прокси-редиректор и фильтратор. HTTPS трафик редиректится точно так же как и любой другой, а вот фильтровать его содержимое (практически) невозможно — собственно ради этого он и используется :)

Ссылки
[link1] https://www.torproject.org/dist/vidalia-bundles/vidalia-bundle-0.2.0.30-0.1.6.exe]Vidalia[/url

[link2] https://www.torproject.org/dist/win32/tor-0.2.0.30-win32.exe]TOR[/url

[link3] http://sourceforge.net/project/showfiles.php?group_id=11118]Privoxy[/url

[link4] https://www.pgpru.com/forum/anonimnostjvinternet/kakanonimizirovatjjjs

[link5] http://www.pgpru.com/forum/anonimnostjvinternet/javascriptvstor?p=1&show_comments=1#comments