Определение IP-адреса через JavaScript в ВЕБ-обозревателе
В случае установки пакета [url=https://www.torproject.org/dis.....1.6.exe]Vidalia[/url[link1]] содержащего [url=https://www.torproject.org/dis.....0-win32.exe]TOR[/url[link2]] и [url=http://sourceforge.net/project.....d=11118]Privoxy[/url[link3]] какова вероятность / возможность определния IP-адреса клиента по возможности встраивания в ВЕБ-страницу специального JavaSacript'а который бы определил IP-адрес клиента и отослал HTTP-ответом обратно на сервер, учитывая тот факт что ВЕБ-браузер используется через TOR а весь HTTP-трафик проходит через HTTP-фильтр Privoxy.
P.S. В документации к Privoxy что от разработчиков написанно что всячески подобные опасности Privoxy должен вырезать из HTTP/HTTPS потока а значит ВЕБ-браузер должен получать уже безопасный HTTP/HTTPS трафик, не так-ли Господа?!
Ссылки
[link1] https://www.torproject.org/dist/vidalia-bundles/vidalia-bundle-0.2.0.30-0.1.6.exe]Vidalia[/url
[link2] https://www.torproject.org/dist/win32/tor-0.2.0.30-win32.exe]TOR[/url
[link3] http://sourceforge.net/project/showfiles.php?group_id=11118]Privoxy[/url
[link4] https://www.pgpru.com/forum/anonimnostjvinternet/kakanonimizirovatjjjs
[link5] http://www.pgpru.com/forum/anonimnostjvinternet/javascriptvstor?p=1&show_comments=1#comments
Дело в том, что браузер – одна из самых дырявых программ на PC. Большинство дыр, найденных в браузере, используют JS. В этом смысле, легпльных способов узнать ваш IP через идеальный секъюрный браузер с включённым JS нет, а вот что касается реальности... Настоятельно советую прочитать этот[link4] и особенно этот[link5] топики, вместе со всеми комментариями. Особо обратите внимание на то, что писал unknown. Там есть исчерпывающие развёрнутые ответы на выши вопросы.
...да в ссылках на предыдущие топики это действительно обсуждалось. В целом:
Из HTTPS потока не нарушив целостности выполнения протокола HTTPS ничего вырезать нельзя. В протоколе HTTPS соединение между браузером и сервером зашифровано с защитой от "человека-по-средине", встроить посредине proxy-фильтр нереально. Privoxy пропускает HTTPS-трафик нефильтрованным, поэтому privoxy для обеспечения анонимности отчасти устарел, т.к. создавался очень давно (разработчики Tor хотят от него отказаться, но всё никак не решаются). Достаточно встроить в обычную страницу невидимый HTTPS-фрэйм и все настройки privoxy можно обойти.
Если вам необходимо использовать javascript, то можете его временно не отключать полностью, а использовать Firefox и расширение Torbutton, которое фильтрует все исходящие от браузера данные (в т.ч. по HTTPS) и блокирует некоторые опасные функции яваскрипта.
Но учтите, что при работе через Tor безопасных сайтов (кроме корректно проверенных по HTTPS, как например https://www.pgpru.com) не существует. Любой исходящий узел сети может модифицировать направляемый вам трафик, внося эксплойты для браузеров в просматриваемые вэб-страницы, подменяя скачиваемые файлы на лету и т.д.
Хотя в меньшей степени, но это присуще и для обычного Интернета – многие массовые сайты (к примеру новостных агенств) легко взламываются и туда тоже ставят эксплойты против браузеров.
Используйте виртуальную машину, а снаружи Tor.
Как завернуть весь трафик виртуальной машины в Tor?
С помощью соответствующих правил iptables, например.
Даже самое первое правило privoxy, принуждающее к заворотке всего трафика на 9050ый порт?!
Конечно нет. Имеется ввиду все настройки фильтрации. Помните что privoxy логически состоит из двух частей — обычный прокси-редиректор и фильтратор. HTTPS трафик редиректится точно так же как и любой другой, а вот фильтровать его содержимое (практически) невозможно — собственно ради этого он и используется :)