Tor Browser Bundle и пакетный Tor


Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!

Комментарии
— unknown (02/10/2011 14:53, исправлен 02/10/2011 15:29)   

Да они в последнее время совсем забили на продвинутых пользователей. Приходиться обо всё догадываться самим.


Возможен такой вариант. Оставить аккуратно настроенные системные Tor и Polipo (в зависимости от способа прозрачной торификации polipo м.б. не нужен и даже вреден). А для TorBrowser не запускать прилагаемый к нему скрипт, который стартует локальный тор, видалию и сам браузер. Лучше запускать непосредственно только ../tor-browser_en-US/App/Firefox/firefox.


Но перед этим, чтобы корректно работали поставляемые с браузером плагины (Torbutton, HTTPS-everywhere, NoScript), скопировать содержимое каталогов:



Ну, или тоже самое симлинками.


При этом как быть с видалией – неясно. Она в этом случае как-бы не нужна. И желания её настраивать, как лишнюю сущность, нет.


Хорошо бы конечно уточнить в рассылке, насколько корректно так делать, описав ситуацию (что нужно именно оставить системный Tor). Иначе можно получить отписку – пользуйтесь только стандартным способом по инструкции для чайников или ждите, пока начнут собирать tor-browser-пакеты для Debian, с учётом его специфики и конкретно случаев запуска tor'a в системе из ими же (разработчиками) поставляемого дебиановского tor-пакета, а не из под пользователя.

Гость (02/10/2011 17:34)   
Да они в последнее время совсем забили на продвинутых пользователей. Приходиться обо всё догадываться самим.
Они ж продвинутые на них нельзя забить, они именно что обязаные природой догадываться сами. Желательно напрямую читая коммиты из репозитария. Собственно оттуда же можно почерпнуть патчи которыми дорабатывают апстримный файрфокс, и сделать себе всё самостоятельно выкинув ненужные скрипты и видалию на стадии сборки.
Но продвинутые тоже любят готовенькое по правилам[link1], однако.
— unknown (13/10/2011 10:06, исправлен 13/10/2011 10:17)   

https://lists.torproject.org/p.....-October/021706.html[link2]


Начиная с текущей версии 2.2.33-3, словно бы в ответ на наши пожелания, всё как будто нарочно поломали. Теперь TorBrowser из Bundle по-отдельности нормально уже не работает. При запуске напрямую он просто падает с ошибкой. При попытке закомментировать Видалию в скрипте и вписать туда запуск firefox-TB, он таки подхватывает большинство нужных параметров, стартует, не падает и работает. Ошибки при этом всё равно выводятся. Плагины при этом не работают (TB, HTTPS-everywhere, NoScript). Также он не подхватывает профиль Iceweasel, так что все накопленные в нём закладки не отображаются.


Работать с обычным (дефолтным) стартовым скриптом, как задумали авторы, можно. Но тогда трафик будет дважды заворачиваться в Tor при прозрачной торификации юзера и зверски тормозить. Также, tor будет стартовать с правами пользователя, а не как системный демон с ограниченными правами. Что плохо с точки зрения безопасности. Не говоря уже о том, что навесить на это стандартные правила SELinux становится совсем невозможно.


Пользователям придётся работать с TBB как есть, прозрачная торификация накрывается медным тазом. Можно конечно переколбашивать исходники, но поскольку там часто меняющаяся бета-версия, хотелось бы придумать что-то получше.


И судя по скупым/неохотным ответам разработчиков (одного пока), исправлять ситуацию они сами не будут. Людей/ресурсов на это нет и/или это не в приоритете. Как во всём opensource: что не устраивает — делайте сами, без шансов попасть в мэйнстрим. А для over-99% пользователей проще иметь простую готовую сборку, с готовыми настройками из-коробки, пусть и без чудес гибкости и параноидальных настроек безопасности. И вообще, пользователи по-умолчанию сидят под Виндой, которой отдаются приоритеты в плане разработки клиентской части.


А прозрачная торификация и отдельные tor-пакеты теперь похоже будут актуальны только для серверов.

Гость (13/10/2011 12:16)   
Может быть проще будет использовать виртуальную машину с Tor Browser?
— unknown (13/10/2011 14:19)   
Как прозрачно торифицировать трафик, идущий с этой машины (так чтобы и другие программы могли через Tor работать и случайные утечки перекрыть)? По имени пользователя? Так он уже запустил там Tor из-за этой сборки, получится опять двойное заворачивание трафика.
Гость (13/10/2011 14:41)   
Прозрачная торификация не отменяет параллельной возможности коннектиться к Tor'у как к socks-прокси: кто хочет — сам сконнектится с IP:порт, кто не хочет — тех на тот же Tor прозрачно завернёт firewall. В Tor Browser что, нельзя поменять настройки IP:порт для polipo/privoxy/Tor?
— unknown (13/10/2011 16:51)   
Можно конечно. Можно тогда и наоборот всё сделать: два тора использовать (или по одному на каждого юзера-анонима — раз уж они у каждого внутри TBB лежат), настроив их на разные порты. Один из TBB, другой внешний. И разделять их файрволлом, что тоже интересно. А на внешнем подхватывать, то, что внутренние торы не слопали. Хотя это костылестроение и красноглазие.

Лучше действительно как-то по-простому соорудить это в VM. Но такой вариант torproject вообще не рассматривает и он даже не обсуждался в рассылке. Кстати и их вики и часть доков резко устарела — кое-где ещё описывается privoxy (впрочем как и у нас).

Официальная позиция торпроджекта видится опять же такой: непараноикам рекомендуется просто скачать TBB и использовать как есть одним кликом и не заморачиваться. Этого как-бы достаточно.

Любители попараноить и покрасноглазить могут пообсуждать свои наработки здесь. А то мы так тоже всех пользователей распугаем :)

Непонятен такой момент. Стартовый скрипт запускает видалию. Она настраивает локальный Tor, чекает коннект через него и запускает Aurora-Firefox-TorBrowser, передавая ему какие-то параметры. Если бы всё делалось только скриптом, то было бы проще. А так надо ещё в Видалию лезть.

И раз разработчики не хотят сами разделить всё по пакетам для Debian и др. систем, а пакуют только связкой и просить их об этом бесполезно, то может предложить им какую-то неумолчательную опцию в каком-нибудь конфиге, который бы проверялся стартовым скриптом — "использовать внешний Tor"?
Гость (13/10/2011 17:41)   
всё как будто нарочно поломали.
Они поломали нарочно после того как внезапно[link3] нашли багу для пользователей самой массовой системы. Настроили костылей вокруг брузера, вот потому и нельзя теперь его запускать первым без новых костылей.
Гость (13/10/2011 20:37)   
два тора использовать (или по одному на каждого юзера-анонима — раз уж они у каждого внутри TBB лежат), настроив их на разные порты

Если вы про то, что под каждым торифицируемым юзером запускать Tor с его же правами — это дурная идея. Торифицируемый юзер — это одна сущность. Пользователь, под которым мы хотим запустить для него Tor — другая сущность. Дело в том, что нет простых способов, например на уровне firewall, контролировать куда идёт трафик от пользователя, под которым запущен Tor. Если выполняется злоумышленный код под таким юзером и патчится Tor-клиент, мы беспомощны, потому надо хотя бы разделять по юзерам как я выше сказал.

Не знаю как проще соорудить костыль, но можно вот так. Пусть из-под юзера всё запускается так, как запускается по умолчанию. Это должно работать по спецификации разработчиков. Далее, когда уже всё запустилось, мы глушим 9ым сигналом Tor, который был запущен под юзером, и запускаем уже свой Tor. из-под другого специального пользователя, и пропсываем его IP:порт в настройках TBB. Он съест такой трюк? Далее подгружаем правила pf/iptables и нужный нам юзер залочен так, как надо.

Если убийство Tor'а связка не переживёт, мы можем параллельно запустить второй Tor на других IP:порт и указать его связке когда она уже запустилась, а потом fw'ом закрыть трафик, идущий не на второй Tor.

Идея проста — второй Tor должен заэкранировать первый. Поскольку на одном host:port 2 сервиса не поднять, надо как-то хитрее, типо вышеописанного. В голове крутится идея наподобие работы рутинга: у нас есть 2 маршрута параллельно, оба дефолтные, но у них разные приоритеты. Вот так же бы и с Tor'ом сделать...

В самом крайнем случае проще и надёжней хакать не видалию, а именно сам Tor-клиент. Сделать так, чтобы его функционал был ограничен простым перенаправлением пакетов на нужный адрес. Можно даже скомпилить такой клиент из команды ssh -D, назвать его "Tor" и подсунуть в связку. Далее вывод с такого Tor-клиента-пустышки будет fw'ом перенаправляться в настоящий Tor, запущенный под другим юзером.
— unknown (13/10/2011 21:33)   

В этой ветке смешнее, чем в теме Юмор и главное никакого оффтопика. Вот стоило написать в рассылку про желание запускать TB без связки и действительно, нарочно сделали.

А убийство Тора с Видалией после запуска как бы прокатывает, но она в торбатон прописывает каждый раз случайный порт socks-сервера, добавляя геммороя.

Также в торбатоне нельзя теперь поменять умолчательные установки на пункт "transparent firewalling" — он остался (вероятно, в качестве насмешки), но просто не выбирается.

Можно даже скомпилить такой клиент из команды ssh -D, назвать его "Tor" и подсунуть в связку. Далее вывод с такого Tor-клиента-пустышки будет fw'ом перенаправляться в настоящий Tor


Ну это тоже будет потенциально язвимый сетевой демон, запущенный с правами пользователя. Да и ещё и несущий больше лишнего функционала, чем сам Tor (доступ к шеллу, запись, исполнение команд). Или всё перекомпилировать до полной кастрации?
Гость (13/10/2011 21:58)   
это тоже будет потенциально язвимый сетевой демон, запущенный с правами пользователя

Это-то как раз не страшно. Firewall позаботится о том, чтобы в обход настоящего Tor'а он в сеть пройти не смог.

доступ к шеллу, запись, исполнение команд

В принципе — да, но если мы рассматриваем как угрозу получение злоумышленником исполнение произвольного кода от имени Tor-пользователя, то он и так и так получает
доступ к шеллу, запись, исполнение команд
Т.е. от такого надо защищаться виртуалкой.

Или всё перекомпилировать до полной кастрации?

Ну если квалификации хватает :) Просто сделать вызов конкретной UNIX-команды из исходника на сях — это 10 строчек от силы на всё про всё, а кастрировать — тут уже понимание нужно. При необходимости ssh -D можно заменить любым простым легковесным socks-прокси.
— unknown (13/10/2011 22:43)   
В общем, пока так:

  1. Правила прозрачной торификации iptables оставить как есть — не трогать и не перегружать, чтобы не было ошибок.
  2. Стартовать стандартный скрипт из TBB.
  3. Видалия запускает локальный tor, который заворачивается в системный Tor, отчего долго тупит.
  4. Видалия стартует TBB-firefox не дожидаясь иногда даже ответа от сети Tor (возможно если скачана статистика), так что даже м.б. быстро.
  5. Убиваем Видалию, юзерский Tor и даже стартовый скрипт, если он ещё висит.
  6. Щёлкаем по кнопке TorButton, выбираем пункт "Use custom proxy settings" "127.0.0.1" вписываем вместо рэндомного порта — "9050" (на котором работает системный Tor).
  7. PROFIT! — всё вроде работает быстро и через Tor как положено.

Также можно торифицировать содержимое виртуалки. И Tor с юзерскими правами не используется. А системный /etc/init.d/tor может запускаться только рутом, затем сбрасывает свои права и работает из-под пользователя debian-tor с ограниченными правами (например не имеет своего шелла и может быть придавлен SELinu'ксовскими правами).

Плюсы ещё в том, что ни одна из возможных ошибок не фатальна: если не убить юзерский tor, то трафик FF будет просто дважды заворачиваться в Tor-сеть и тупить с удвоенными цепочками; если забыть поменять порт в TorButton, то браузер напишет "не могу установить соединение".

Вот только думаю, стоит ли публиковать такой рецепт в рассылке или параноикам всё равно ничего не ответят, а опять устроят подлянку? Хотя, если конструктивно сформулировать, может будет больше пользы. Разработчики же не из вредности, а из-за компромиссов в сторону большинства делают свои изменения.
Гость (14/10/2011 01:58)   
стоит ли публиковать такой рецепт в рассылке

Имхо, стоит — хотя бы для того, чтобы показать разработчиком до какого абсурда приходится опускаться при отклонении от "генеральной линии партии".
— unknown (14/10/2011 10:28, исправлен 14/10/2011 10:40)   

опубликовал[link4]. Спасибо всем, кто помогал в придумывании решения.


И не мы одни попадаем в этот абсурд: кто-то уже придумал решение похуже — перебить все права TBB на debian-tor и при этом по-ошибке одной командой
расшарил иксы[link5] на всю сеть и дал доступ также и всем программам со своего хоста (судя по адресу почты, может даже с Tor-узла). Epic fail!


Если разработчики не придумают нормальные, готовые, проверенные, обкатанные опции для unix-friendly использования, то будет не только абсурд, но и некоторое количество покалеченных самопальными решениями.

Гость (14/10/2011 10:53)   
Подождём, что оветят теперь в рассылке (по существу, а не то, что уже ответил кто-то там).
Гость (15/10/2011 06:11, исправлен 15/10/2011 17:04)   

Что-то они не особо активно отвечают в рассылке (разрабы), у меня уже закрались мысли, что американское правительство "нагнуло" их на то, чтобы они делали Tor для "бунтующих таджиков", а не для американцев/европейцев и в т.ч. русских.
А как правильно добавить запись об убийстве видалии в стартовый скрипт?

, чтоли?

— unknown (15/10/2011 20:27, исправлен 15/10/2011 20:37)   

Вполне возможно, что они отмолчатся. Тем кто перегружен, или не может что-то сделать по независящим от него обстоятельствам неохота оправдываться. Проект разросся, а сил на доработку много чего нет. Они сами, думаю не рады, что им приходиться гнаться за Firefox'ом и быть от него в зависимости. Все эти фичастые браузеры похуже правительств. Куча других задач в проекте также не решено.


В сам стартовый скрипт дописать простую команду нельзя. Нужно ждать, пока Видалия соизволит запустить FF, проверив соединение с Tor. И только потом прибивать. На что может уходить дико много времени при двойной торификации в файрволлинге (но меньше, если скачанная статистика не потеряла актуальность). Нам ещё повезло, что они упустили код возврата ошибки 137. Если прибить всё без девятки, то Видалия штатно закрывается и штатно закрывает FF. Они могут в следующей версии обломать нас и с этим, если считают запрет запуска FF без Видалии необходимым.


Вот такой алиас можно использовать:



(Подразумевается, что в процессах ничего лишнего со словом Data не висит. Или тогда надо парсить вывод ps подробнее)


И запускать от имени пользователя (который запустил TBB-script), после того, как видалия запустит TBB-FF.

Гость (15/10/2011 21:27)   
В принципе, pkill -9 vidalia срабатывает нормально, равно как pkill -9 tor (запускать над под юзером,а не под рутом, ибо последняя команда под рутом прибьет системный Tor).
Я несколько дней назад написал такой тупой скрипт:
,
положил его в пользовательские bin'ы заторенных юзеров (чтобы отвязывать от терминала торбраузер).
До этого, грубо говоря, плевал на то, что видалия и tor от юзера висят в системе, сегодня решил их прибивать.
От руки делать влом, дописал в этот скрипт в конец:

Не работает, если убивается видалия сразу, не запустив браузер, он не запускается, эскпериментальным путем пришел к тому, что достаточно перед ними указать , меньше маловато.
Но допустил ошибку – т.к. по логике вещей если нажать °C до старта всей муйни, должна убиваться дальшейшая работа скрипта и не срабатывать комадны kill.
Однако, если после запуска скрипта и старта видалии нажать °C, то видалия тоже почему-то тоже убивается, хотя по логике вещей не должны исполняться команды pkill.
Записал скрипт в таком виде:


Также почему-то убивается видалия и браузер, даже после запуска последнего.
Как бы лучше этот сриптец переписать?
Гость (15/10/2011 21:29)   
Вполне возможно, что они отмолчатся. Тем кто перегружен, или не может что-то сделать по независящим от него обстоятельствам неохота оправдываться. Проект разросся, а сил на доработку много чего нет. Они сами, думаю не рады, что им приходиться гнаться за Firefox'ом и быть от него в зависимости.


Так если они довели до ума рыжелиса, а потом навесили на него всякую муть типа видалии и локального тора, какие проблемы "чистый браузер" без довесков выложить?!
Наверное, Роберт или Майк не юзают это свое поделие, наверняка же ходят через прозрачно торифицированный юзер и как-то эту проблему для себя решили.
Или также мучаются как мы?!
Гость (15/10/2011 22:22)   
также мучаются как мы
Скорее этот случай. Вон, Linus, пишет ядро в гноме/kde, а не в ion3 и не в xmonad как можно было бы подумать.

Как бы лучше этот сриптец переписать?
Утверждается, что по уму при запуске сервис сохраняет свой pid в некотором файле. Дальше надо прочитать этот pid и убить его. Ну, как стартовые скрипты работают... Правда, когда всё не очень отлажено, а среда агрессивная, рано или поздно возникает ситуация, когда pid в файле не соответствует реальному, либо там пуст а процесс реально запущен и т.д. Так что ps — это истина в последней инстанции, и кроме как умного парсера, которые вытащит оттуда pid'ы и предложит их убить (можно даже интерактивный скрипт написать под это дело), мне ничего в голову не приходит.
— unknown (15/10/2011 22:27, исправлен 15/10/2011 22:43)   

Отслеживать по таймауту слишком ненадёжно — может и три минуты провисеть. Можно отслеживать появление firefox и тогда сразу всё гасить. Потому что с дважды заторенным пользователем тоже лучше не работать, хотя бы из-за сетевых тормозов.


А вот почему убивается FF после того, как видалия его запустит, сложно сказать.


Я запускаю не из терминала, а из гуёвой пускалки. Затем меняю socks-port в FF вручную. И только затем (но сразу после этого) запускаю прибивающую команду в терминале. Может от последовательности действий завсисит.


Видалия — поделие то ещё. Может в каких-то KDE она и пашет, но приходится наблюдать пустую нераскрывающуюся рамку, пока она не сконнектится с Тором. Какой ужас они нам сделали!


Не знаю, как там Майк и Роберт, но ранее гости в теме давали ссылки на тикеты где ещё продолжается обсуждение:
https://trac.torproject.org/projects/tor/ticket/4192
https://trac.torproject.org/projects/tor/ticket/3994


Кстати, вот официальное решение юниксоидам, которое они предлагали раньше:
https://trac.torproject.org/projects/tor/ticket/2308


Используется таки видалия, но стыкуется с системным тором и права на неё типа перебиваются и системный torrc, что чуть лучше, но всё равно менее безопасно. Попробую предложить закрыть им этот тикет, который уже десять месяцев висит. И переименован он Роджером в "необходимость написания инструкции для использования видалии с тором, закружаемым при старте системы". Так и не написали ничего внятного. И таких тикетов масса.


[off]


ага, он его защищал, типа больше и не надо, а потом не выдержал и где-то потроллил по поводу идиотичности последних гномовских нововведений. Не помню, чем дело кончилось, может он с него ушёл. Или так, поворчал просто.
[/off]

Гость (20/10/2011 12:06)   
unknown, твоя команда не совсем правильно работает, команда print в awk выводит номера процессов видалии и тора в две строчки, один из них убивается, а номер другого воспринимается оболочкой как самостоятельная команда и оболочка сообщает, что нет такой команды.
Я попробовал сделать так:

Работает. Хотя я плохо разбираюсь в опциях printf, может есть более кошерное решение?!
— unknown (20/10/2011 13:06)   
Может зависеть ещё от того, какой awk установлен, его симлинк может указывать на mawk или gawk. У них синтаксис может немного отличаться.

Уже начинаю сомневаться во всей этой затее. Может не стоит быть святее Папы РимскогоРоджера Динглдайна и воспользоваться тикетом 2308[link6]?

В системном торе разрешить в конфиге управляющий порт, туда же добавить хэш пароля. Этот пароль и порт прописать в видалии. Может в torbutton ещё также что-либо прописать.

Видалию так уж и быть, оставить. Она будет рулить системным тором. Также из встроенного ныне торбатона в TBB можно будет выбирать "new identity".

Может правила iptables подправить. Другие программы будут заворачиваться в тор как и раньше.

Вопросы остаются — не будет ли конфликта между одновременно/попеременно использующими общий тор разными браузерами со своими видалиями (если одну из них не закрыть во время использования другой)?

И какой потенциальный ущерб от управляющего порта? Слабые места и возможные грабли? В нём ранее были уязвимости, поэтому на него и накрутили пароли и куки. А ведь до этой версии TBB можно было бы обходиться и вообще без него. Сама Видалия с инетом соединений не имеет — коннектится только с локальным управляющим портом тора (а у нас он будет изменён с юзерского на системный). Если злоумышленник получит на неё права через браузер, что он может сделать? Можно ли ему перехватить пароль и заставить юзера соединяться с фэйковым тором?

Объяснять свой компромисс в этом вопросе разработчики не хотят или где-то есть более подробное обоснование их решений?

А вот этот пункт FAQ[link7] отчасти объясняет, что они делают только то, что им самим нравится или принимают полностью готовые решения (с формализованными объяснением, аргументацией, документацией и желательно уже в виде программной реализации).

В Help'е к Видалии и в первом пункте тикета для использования TBB рекомендуется вообще отключить системный Tor, так что похоже свой выбор они уже сделали.
Гость (20/10/2011 13:24)   
Если злоумышленник получит на неё права через браузер, что он может сделать?

Как минимум — понять какие звенья в используемой цепочке и слить их злоумышленнику через Tor. Никогда бы не открыл управляющий порт для доступа с правами торифицируемого юзера, если деанон реально критичен.
Гость (20/10/2011 15:50)   
А вот wwwэтот пункт FAQ отчасти объясняет, что они делают только то, что им самим нравится или принимают полностью готовые решения (с формализованными объяснением, аргументацией, документацией и желательно уже в виде программной реализации).


Как минимум — понять какие звенья в используемой цепочке и слить их злоумышленнику через Tor. Никогда бы не открыл управляющий порт для доступа с правами торифицируемого юзера, если деанон реально критичен.


Команда Tor "слилась" под власти "большой восьмерки" и теперь всячески снижают анонимность сети Tor, чтобы она могла использоваться только против Китая и Ирана, а не против интересов властьимущих стран "золотого миллиарада"?!
Что-то мне изначально не понравилась эта идея с "To toggle or not to toggle"... Что-то изначально было в ней подозрительное...
Может, они перестанут поддерживать и пакеты системного Tor'а тоже?!
— unknown (20/10/2011 16:20, исправлен 20/10/2011 16:38)   

[conspirology mode]
Пока в основном на бунтующих арабах[link8] тренируются. Как приехали оттуда, так сразу новую версию TBB выпустили, под них, вероятно, адаптированную.


И да, часть фич они выполняют по заказу спонсоров[link9], каждый из которых обозначен буквой "A", "D", "E", "F".


Вот подробнее задачи каждого из спонсоров[link10], но кто эти спонсоры не указано. Кто платит, тот, как говорится, и заказывает музыку.
[/conspirology mode]

Гость (20/10/2011 17:29)   
unknow, т.е. нас в ближайшем будущем ожидает ппц проекту Tor?
Гость (20/10/2011 17:51)   
unknown, отправил комментарий в рекомендованную Вами запись в блоге о моих подозрениях, интересно, опубликуют или нет? Если нет, то, вероятно, мои подозрения обоснованные...
Гость (20/10/2011 17:54)   
А так вроде особо криминального в пожеланиях спонсоров нет (читал правда выборочно), кроме некоторых странных вещей (включение поддержки автообновления и т.п.).
И да, они пишут про продолжение поддержки Vidalia, TBB и т.п., но в самом по себе этом факте нет ничего плохого.
Может, они тайно доводят пожелания такого рода до команды Tor?
Остается надеятся, что Tor продолжает оставаться полезным для разведок с точки зрения, например, обеспечить возможность передачи данных из любой точки мира без возможности перехвата и деанонимизации.
Тогда, вероятно, его не будут ломать окончательно, делая недоступным для продвинутых юзеров, опасающихся вражеских действий властей крупнейших государств.
— unknown (20/10/2011 17:55, исправлен 20/10/2011 17:57)   

Почему? Там зато теперь есть кнопка "сделать всё хорошо", т.е. анонимно запустить браузер, видалию и тор из-коробки одним кликом. Что должно привлечь толпы анонимусов, незнакомых со специфическими навыками, заработанными хронической паранойей.


Для поддержки серверов останется скорее всего обычный пакет, как есть. Не все же узлы держать на запущенных из под пользователя процессах.


это для винды, как и многое другое.

— unknown (20/10/2011 22:19)   
Новое сообщение в блоге от Эрин: Don't Panic[link11]. всех пересаживают на Видалию с единообразной конфигурацией. Но предложения по поводу альтернативных реализаций готовы рассмотреть. Я так понимаю, что просто вычитывать мысли из постингов в блоге и рассылке им некогда, нужен готовый грамотный proposal.
Гость (20/10/2011 22:43)   
unknown, я все-таки не понимаю, что они творя. Это же не unix- и не open source way!!!
Они там совсем рехнулись?! Может, следующим шагом будет сделать Tor пропиетарным с закрытым кодом, с дырами и бэкдорами для спецслужб?!
P.S. Они там похоже помешались на виндоуз-юзерах, вместо того, чтобы пропагандировать переход на *nix и прозрачную торификацию...
Гость (20/10/2011 22:53)   
часть фич они выполняют по заказу спонсоров
Там есть
Make Tor scale to 2 million concurrent users by splitting the network into multiple segments, switching to datagram-based protocols, and improving load balancing within the network (sponsor A, deliverables 7 and 13)
Что они хотят? Разделить пользователей Tor по каким-то критериям? Сделать для Ирана — свой Tor, а для Европы — другой? Чтобы проще отсеивать было who is who?
Гость (20/10/2011 22:55)   
прозрачную торификацию
Она — вопрос удобства. Безопасность сама по себе не повышает никак (скорее наоборот — под неё труднее написать правильные и безопасные правила). То, что реально повышает безопасность — сами по себе настройки fw, не позволяющие ходить юзерам в обод Tor (например, в обход Tor-прокси).
— unknown (21/10/2011 10:14, исправлен 21/10/2011 10:28)   

Текущий протокол плохо масштабируется на большое число узлов. DA не смогут справиться со статистикой, если узлов будет больше, кажется, 10000. Возможно, узлы будут записываться рэндомно в какие-нибудь свободные (в смысле неперегруженные под завязку на данный момент) DA, образовывая иерархические кластеры. А пользователю не нужно будет скачивать всю мегастатистику большой сети целиком.


Это общие предположения, на основании того, какие проекты анонимных сетей существует и того, что проскакивает в рассылке, полностью "дорожные карты" не читал.


прозрачную торификацию

Она — вопрос удобства. Безопасность сама по себе не повышает никак (скорее наоборот — под неё труднее написать правильные и безопасные правила).

Как иначе по-надёжному завернуть в Tor программы, которые не умеют работать с прокси или socks вообще? Например почту. Пускай в таком случае не до конца даже вырезаются деанонимизирующие заголовки, может кому-то нужно соединиться со скрытым сервисом ремейлера или со своим скрытым сервисом.

То, что реально повышает безопасность — сами по себе настройки fw, не позволяющие ходить юзерам в обод Tor (например, в обход Tor-прокси).

Насчёт, "а если они не умеют Tor-proxy вообще" см. выше. Другой аспект, то что если Vidalia, TBB и Tor будут прибиты гвоздями друг к другу и запускаться из-под юзера, то и фильтрация в файрволе по юзеру не будет иметь особого смысла. Уязвимость в самом слабом звене — браузере будет компрометирвать всю анонимность.


И если обычный пользователь будет считаться в любом случае проигравшим, то более продвинутым пользователям будет труднее защищаться файрволлом, виртуализацией и пр.


С другой стороны, какая альтернатива? Это GnuPG можно использовать как угодно. На свой страх и риск. Хоть из консоли с пайпами, хоть с любой из глючных графических оболочек, хоть плагином к почтовику.
С Тором так не очень хорошо, потому что все должны иметь одинаковый отпечаток-профиль. Анонимность сложнее, чем просто безопасность (приватность, секретность). Нужно всем иметь способ согласования анонимизирующих программ, дающий одинаковый профиль на выходе. Проще сделать его приспособленным для массового пользователя. Иначе большая масса вразнобой настроенных систем позволит отфильтровать "продвинутое меньшинство" правильно настроенных.


Плюс для анонимной системы вообще критична массовость, без таких трудностей в понимании, как для GnuPG. Чтобы не было необходимости знания кучи наворотов.


Это же не unix- и не open source way!!!
Они там совсем рехнулись?! Может, следующим шагом будет сделать Tor пропиетарным с закрытым кодом, с дырами и бэкдорами для спецслужб?!

Как раз таки закладка по всем канонам OpenSource — это когда её можно выдать за случайную ошибку. Теперь некоторые баги файрфокса могут играть роль закладки, к которой разработчики Тора формально не будут иметь никакого отношения: "не виноватые мы — это браузер глючный!"

Гость (21/10/2011 10:28)   
Чо-то такое даже ответили: https://blog.torproject.org/bl.....ing-oct-3-7#comments[link12]
— unknown (21/10/2011 11:27, исправлен 21/10/2011 11:30)   

Роджер (arma) конечно молодец и всё правильно сказал. Почти примерно как и предполагалось или как хотели от него услышать (может они наш форум читают?). Хотя, если отбросить паранойю, скорее мы читаем достаточно много информации от них, поэтому можем составить картину ситуации.


Надо придумывать конструктивные предложения и мягко, вежливо, но настойчиво продвигать их в проект, понимая, что разработчики сами многое хотели бы изменить, но у них не хватает времени/человеко-ресурсов.

Гость (21/10/2011 14:59)   
если узлов будет больше, кажется, 10000
Количество узлов растёт очень медленно. Не факт, что до 10000 мы дорастём в ближайшее десятилетие... Действительно ли это настолько приоритетная задача?

пользователю не нужно будет скачивать всю мегастатистику большой сети целиком.
И это плохо. Чем меньше множество, из которого выбираются узлы для цепочки, тем меньше анонимность (при прочих равных).

Как иначе по-надёжному завернуть в Tor программы, которые не умеют работать с прокси или socks вообще?
Вот потому я и сказал, что вопрос удобства и/или вынужденная мера. Есть ещё проксификаторы.

если Vidalia, TBB и Tor будут прибиты гвоздями друг к другу и запускаться из-под юзера, то и фильтрация в файрволе по юзеру не будет иметь особого смысла
Я имел в виду "классический" случай — где есть только Tor, TorButton и браузер.
— unknown (21/10/2011 15:34, исправлен 21/10/2011 15:36)   

Ну 2000 узлов сейчас и вроде насыщение есть. Если так, то действительно не то. Может там что-то другое в масштабировании.

чем меньше множество, из которого выбираются узлы для цепочки, тем меньше анонимность (при прочих равных).

И разработчики это понимают. Они сразу указывали на опасность атак разделения при различающейся статистике, доступной разным пользователям. М.б. разработают какой-то особо хитрый алгоритм, по крайней мере они такой вариант рассматривали. Кстати, в "полностью распределённых" сетях в этом плане всё ещё хуже. Но это уже совсем не по топику.


Теперь часть защит (от статистических атак за трафиком на вебсайты) встроена в сам браузер. Который гвоздями прибит к связке.

Гость (08/11/2011 00:54)   
Последний TBB под прозрачно торифицированными юзерами стал стартовать через одно место.
Сначала видалия орет, что не может установить соединение с Tor, и падает, и запускается только со второго раза.
Что за ппц?!
— unknown (08/11/2011 13:05)   
А он теперь вообще не должен с ним стартовать. Получить статистику через дважды завёрнутый Tor почти нельзя (если только не ждать по 10 мин), там есть метки ячеек.

Есть рабочий вариант как сделать юзера прозрачно торифицированным, а все что идёт через TBB выпускать наружу. Но любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.

Не знаю, интересна ли кому-то такая полупрозрачная полуторификация.
Гость (08/11/2011 13:42)   
любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.
Разве это нельзя запретить настройками iptables?
— unknown (08/11/2011 15:55, исправлен 08/11/2011 21:39)   

Нет, идея в том, чтобы завести системную группу, например "tbb-tor".


Только первый нюанс. Группы с паролем редко используются (проще говоря, на них давно забили), поэтому по умолчанию стоит древний юниксовый DES, который обрезает пароли до восьми символов (и по ряду особенностей он ещё хуже). По крайней мере, так по умолчанию в Debian. Так что сначала нужно поправить /etc/login.defs на На последующие пароли юзеров это (кажется) не повлияет — они сверяются по методу, определяемому в PAM. Только на группы.


После этого можно добавить группу:



После чего проверить размер хэша пароля группы (чтобы не был короткий, как у DES-хэш) в /etc/gshadow.


Пользователь "debian-tor" — системный tor.
Пользователь "tornet-user" — анонимный "заториваемый" пользователь.
Группа "tbb-tor" — для локального тора из TBB.


После этого из-под юзера можно запустить скрипт видалии с помощью команды

Терминалы, значки, горячие клавиши и гуёвые запускалки привязать по вкусу.


Только знающий пароль группы сможет запустить видалию-tor-FF с GID этой группы.


Ну а файрволл будет выглядеть вот-так:



Но и видалия и тор, который она запускает в связке и файрфокс и всё что будет запущено из-под него, любые порождённые процессы будут иметь GID tbb-tor и выходить наружу. Вся надежда только на то, что сборщики TBB не накосячили и вовремя исправляют дыры безопасности, т.к. файрволл теперь от утечек неанонимного трафика не прикрывает.


Всё остальное из-под пользователя, то что запускается отдельно от TBB (ssh, wget, почта) можно запускать как обычно и оно будет гарантировано заворачиваться в системный Tor. Немного плохо при этом ещё то, что у пользователя будет два параллельных набора сторожевых узлов — для системного Тора и для тора из TBB.


Разумеется, OpenBSD PF тоже умеет делать так[link13].


Использовать группу без пароля, привязанную к пользователю смысла нет. Иначе вообще любая программа с правами этого пользователя может обходить файрволл.




Было бы здорово, если бы кто-то предложил что-нибудь лучше.

Гость (08/11/2011 19:36)   
Разве это нельзя запретить настройками iptables?
Нет

Было бы здорово, если бы кто-то предложил что-нибудь лучше.

Подождите, так были же /comment48573[link14] и /comment48584[link15], из которых я (ошибочно?) сделал вывод о том, что проблема если не полностью, то, по крайней мере, почти решена, прозрачная торификация работает, а всё лишнее можно отрезать iptables'ом.
— unknown (08/11/2011 21:24, исправлен 08/11/2011 21:35)   

Первоначальные методы, предлагаемые в этой теме, проваливались один за другим.


Попытки выкачать статистику через дважды заторенное соединение, получить ответ сначала от тора, а затем от браузера в видалию об успешно установленом соединении (а иначе в связке никак) стали очень сильно тормозить. Tor не даёт строить цепочки больше трёх узлов, там есть какой-то вероятностный механизм в протоколе, который определяет по ячейкам в трафике, на сколько узлов они отстоят в цепочке, чтобы так не делали (иначе можно было бы задосить Tor-сеть бесконечной цепочкой). Поэтому дважды заторенные соединения почти не работают.


В своих ответах в рассылке разработчики об этом умолчали (вероятно потому, что механизм недоделан и несовершенен), но в спеках это есть.


Так что теперь даже не выждать старта через "двойной" tor перед тем, как переключиться на системный.


Максимум что теперь можно делать — это выпускать наружу (в т.ч. и из виртуальных машин) весь tcp-трафик от всего, относящегося к TBB, не заворачивая его в системный Tor. А в системный tor заворачивать всё остальное от полунедозаторенного пользователя (не TBB процессы).


Понятно, что выполнение произвольного кода, злонамеренные плагины, которые могли бы создать утечку данных в обход tor и пр. сценарии теперь не блокируются файрволлом. Но это хоть какой-то рабочий компромисс.


Попытки подружить видалию из TBB с системным тором у меня ни к чему хорошему не привели — не работает вообще и подозреваю, может даже из-за этих попыток слетели права на конфиг системного тора перед обновлением, что привело к специфическим глюкам.


Обсуждение решения очень приветствуется. Есть смысл оформить как proposal или как черновик-"idea" (такой формат они тоже негласно принимают).


Была ещё идея, В tor.conf есть опция UID, но это актуально для системного Torа, который может менять UID перед запуском демона, читая первоначально конфиг от рута. Можно было бы сделать просто патч, чтобы менялся и GID, но пользовательский tor — это вам не root. Если группу сделать беспарольной, то любой процесс пользователя может запуститься с таким же GID, а если спрашивать пароль на группу, то как его вводить в tor? Это можно было бы сделать через окно в видалии и некий аутентификационный меанизм (кстати также можно было бы дополнить и UID), но разрабы сейчас не будут этого делать. У них проблема в том, что по их данным только 20% инсталляций tor сконфигурировано безопасно (по самым минимальын критериям), остальные пользователи — феерические сами понимаете кто... Вот эта проблема в приоритете проекта, а не душевные страдания гиков-параноиков, которых призывают самим помочь себе, а проекту нести только почти готовые подходящие решения.


А так, чисто теоретически, при наличии таких патчей, хотя бы только локальный tor можно было бы выпускать наружу, но уже не FF и всё остальное.


P.S. Поправил кое-что в опциях в предыдущем сообщении. Это очень черновой вариант. Критика и идеи приветствуются.

Гость (09/11/2011 02:25)   
А если поковырятся в исходниках, может получиться самому выковырять браузер из TBB?
И насколько опаснее использовать, скажем, старый iceweasel или firefox с TB, вместо TBB, под прозрачно торифицированным юзером? Это ли не безопаснее, чем прямое раскрытие ip?
P.S. Вообще что-то они намудрили с TBB и похоже гонят проект Tor к бесславному концу.
Гость (09/11/2011 02:50)   
А если просто убивать (-9) юзерский Tor (несистемный), то он убьёт и видалию и браузер? Т.е. не дожидаясь его успешного запуска — никак?
— unknown (09/11/2011 09:49, исправлен 09/11/2011 09:52)   
И насколько опаснее использовать, скажем, старый iceweasel или firefox с TB, вместо TBB

В TorBrowser помещена защита от стататаки[link16], одним TorButton теперь не отделаться.
Плюс вылезло много фич, по которым можно снимать отпечаток профиля браузера, поэтому всех и пересаживают на TBB.

А если просто убивать (-9) юзерский Tor (несистемный), то он убьёт и видалию и браузер?

Видалия сначала получает ответ от юзерского Tor, что он выкачал всю статистику из сети и прошёл успешное соединение, затем от FF. Если убить раньше, то FF (TorBrowser) не запустится. Если его запустить каким-то обходным путём, то он не получит ответ от видалии и закроется.

Вообще что-то они намудрили с TBB и похоже гонят проект Tor к бесславному концу.

Скорее вылезло много чего такого, что показывает, что практическая анонимность намного сложнее теории.


Майк Перри обяснял свою позицию в одном из первых ответов к теме[link11].

— SATtva (09/11/2011 13:47)   
Если группу сделать беспарольной, то любой процесс пользователя может запуститься с таким же GID, а если спрашивать пароль на группу, то как его вводить в tor?

Раз уж речь о патче, то, полагаю, можно передавать пароль через специальную опцию в тор-конфиге. Сам тор-конфиг, разумеется, должен иметь права чтения только для рута.
Гость (09/11/2011 14:15)   
Плюс вылезло много фич, по которым можно снимать отпечаток профиля браузера, поэтому всех и пересаживают на TBB.


1) Это касется и стареньких iceweasel и FF3-?
2) А если бывает важнее не связывание пользователя с определенным профилем, а недопущение раскрытия ip (когда установление физического местонахождения грозит арестом и/или смертью, например)?
3) И если для разных целей (посещения разных инет-ресурсов) существуют разные unix-юзеры, а что-то вообще делается под вирт. машиной, все равно можно сделать профилирование по тому, что это именно этот юзер заходил сюда-то, сюда-то и сюда-то?

Скорее вылезло много чего такого, что показывает, что практическая анонимность намного сложнее теории.


Только я не понимаю, зачем прибивать гвоздями составные части TBB друг к другу?! Я понимаю, дуракоустойчивость. Но должна быть и свобода маневрирования.
Тем более, что для юникс-пользователя вообще странно ходить в сеть без использования функций фаервола...
— unknown (09/11/2011 14:45, исправлен 09/11/2011 14:52)   

Вы ответ Майка читали? Там все эти тезисы в вопросе к нему приведены. Он сам не хотел переходить на TBB, но ничего лучшего или не смогли придумать, или не было ресурсов реализовать.


Это не абстрактное свойство. Разделение пользователей по профилям и их отфильтровывание — один из путей снижения анонимности сети. Причём более вероятный. И затрагивающий всех. Вероятно, авторы считали применимость и вероятностных атак и детерминированных. Вы учитываете только последние, как самые эффектные, а они считают их в данном случае не самыми действенными (эффективными).


И запускать его сможет только рут, ага. Это же не запуск на старте из /etc/init.d/tor, тут надо проще, чтобы в видалии любой юзер кнопочкой мог остановить и запустить. Или видалию тоже пропатчить и доверять видалии запрос на пароль рута до кучи?

Гость (09/11/2011 15:29)   
Видалия сначала получает ответ от юзерского Tor, что он выкачал всю статистику из сети и прошёл успешное соединение, затем от FF. Если убить раньше, то FF (TorBrowser) не запустится. Если его запустить каким-то обходным путём, то он не получит ответ от видалии и закроется.

В настройках видалии можно указать иной host:port в качестве Tor'а, где последний уже заблаговременно запущен? Или там тоже гвоздями прибито?
— unknown (09/11/2011 15:34)   
Можно, а что это даст? Как она будет запускать и останавливать системный Tor, который не из под юзера запущен?
Гость (09/11/2011 18:54)   
Как она будет запускать и останавливать системный Tor, который не из под юзера запущен?
А ей надо именно запустить его? Тогда делаем 2 Tor-конфига, забинденные на один и тот же хост:порт. Видалия запускает первый и ждёт пока всё запустится. Через какое-то время прибиваем первый Tor и запускаем второй — системный. Так сработает?

Далее, дабы не палиться под заториваемым юзером, можно настроить так: создаём чистый профиль, настраиваем его, убеждаемся в работоспособности оного и бэкапим его. Также создаём чистую юзерскую директорию, пусть она будет его домашней. Все нужные для доступа файлы, скачанные через Tor, пусть хранятся в иной директории, с иными правами и недоступны для чтения из-под заториваемого юзера. Каждый раз, когда вновь запускаем Tor и прочая, стираем полностью содержимое директории заториваемого пользователя и восстанавливаем "чистую версию" из бэкапа. Этим мы гарантируем отсутствие тайных изменений в настройках, в профиле, в истории браузинга и т.д. Только после того, как Tor родной убит, системный запущен, а iptables/pf включен, можно начинать работать. Всё скачиваемое пусть сохраняется в какой-то временной чистой директории, разрешённой для тор-юзера только на запись. По окончании сеанса её содрежимое переносится в постоянное хранилище, недоступное тор-юзеру. Для пользования хранилищем лучше создать отдельного юзера, которому будет запрещён какой бы то ни было доступ в сеть вообще. Ну, это если без виртуалок, без LiveCD и т.д. — какой-то минимум на колнеке и своими руками.

Кстати, как Tails решает тут нами обсуждаемую задачу подружить TBB, системность Tor-юзера и iptables? Никто не интересовался? А то, может быть, уже не стоит изобретать велосипед?
— unknown (11/11/2011 10:39, исправлен 11/11/2011 12:28)   

Предлагаю ознакомиться с интересным документом: The Design and Implementation of the Tor Browser [DRAFT][link17].


Для, как говориться "Ъ", краткое, но абсолютно неполное содержание.


  1. Почти всё, о чём мы думали (обсуждали здесь), авторы рассматривали. И намного более того. И явно лучше.
  2. TBB неизбежен. Попытки прикрутить Tbutton к чему-либо другому — заведомый фэйл и профилирование. "There is an absurd amount of information available to websites via attributes of the browser. This information can be used to reduce anonymity set, or even uniquely fingerprint individual users.".
  3. Нельзя даже ставить adblock или он должен быть у всех настроен абсолютно одинаково. Как и любые схожие плагины, фильтрующие контент (Jscript например).
  4. С фонтами проблема — нужно отдавать все наборы шрифтов всех языков мира, что нереально. С набором базовых шрифтов для разных операционок пока тоже не очень хорошо согласуется. И это всё пока бесполезно против профилирования шрифтов через CSS и JS.
  5. Пользователям нужно уменьшить количество вариантов настроек в Tbutton, в идеале убрать их совсем. Разные настройки — разные профили пользователей. Что-то вроде "гибкость больше мешает анонимности, чем помогает ей", "анонимность требует одинаковости и обезличенности" (это не цитата, а личное толкование принципов). Настройки для всех операционок должны давать одинаковый результат на выходе. Опять же, по личному впечатлению, документ составлен в духе "лучше неидеальная анонимность, но одинаковая для всех". Любители покопаться в настройках "about:config", хитрым образом навесить файрволлы и пр. явно не упоминаются. Но неявно следует, что они ССЗБ, причём не понимают, насколько сильными буратинами они себе являются.

Может кто не согласен с таким толкованием или с тем, что пишут сами авторы, предлагается читать оригинал. Да и есть надежда, что на основе TAILS что-то когда-нибудь сделают и для юниксоидов, как-то портировать в Debian может и будут. А может и нет. Может прозрачную торификацию оставят на уровне "orphaned child". В концепцию "единообразной анонимности" она плохо вписывается.

Гость (11/11/2011 11:30)   
Любители покопаться в настройках "about:config", хитрым образом навесить файрволлы и пр. явно не упоминаются. Но неявно следует, что они ССЗБ, причём не понимают, насколько сильными буратинами они себе являются.


А как может угрожать анонимности прозрачная торификация? Т.е., у всех есть утечки, а у этих нет, чтоли?! А что это за анонимность тогда, если реальные данные утекают в сеть?!
P.S. По моему они бросилсь в крайность. Злонамеренно ли?!
Гость (11/11/2011 12:00)   
По суперкукам получается, что предусмотрено избавление от них через кликанье на New Identity? Чего нельзя сделать после убийства видалии...
Интересно, очистка кэша браузера обычными средствами браузера (стереть всю историю) от них помогает?

А также что касается проблемы, изложенной в пункте 11 раздела 3.5 – при пользовании системным тором, надо переходить на альфа-версию и для клиента?
— unknown (11/11/2011 12:28, исправлен 11/11/2011 12:38)   

Основная проблема, которую они пытаются решить — это опасность профилирования.


Если пользователь под редким профилем (например похожим на редкую операционку со специфичными настройками — а не на виндоанонимусов) засветился на ресурсе "долой преступный режим" и также кто-то с похожим редким профилем пишет (ещё и стилистически сходно) на форуме любителей аквариумных рыбок, или пушистых котят и пр., то можно собрать всё больше идентифицирующей информации об этом профиле, хотя бы со исходящих узлов.


На данном этапе, это важнее, чем суперпараноидальные настройки для гиков. Также как важнее и массовость за счёт простоты использования. Для анонимности нужны толпы.


А также что касается проблемы, изложенной в пункте 11 раздела 3.5 – при пользовании системным тором

Если Tbutton не настроить на управление системного тора через контрольный порт, то это никак не поможет. Даже когда его включат в связку, вероятно только в связке эта фича и будет нормально работать.

Гость (11/11/2011 12:37)   
По ссылке есть интересный тестик – http://ip-check.info, ругается на то, что настройки TBB отличаются от дефолтного.
Хотя, насколько мне не изменяет склероз, ничего не менял, кроме кастомизации панелей. TBB последней версии, единственно что пускаю его через системный Tor.
Ругается на:
Cache (E-Tags), выводит некий "уникальный ID" (я так понял по отпечатку кэша, после очистки кэша он меняется,а я уже испугался, что FF тоже придумала какой-то номер браузера);
HTTP session 10 minutes (until your Tor identity is changed);
на рефферы (хотя в последних TB отключено резание рефферов);
на некую подпись (signature), причем к моему ужасу оказалось, что она одинаковая под браузерами, открытых под разными локальными юзерами, и не меняется в зависимости от очистки кэша – это еще что за ужас?!
на шрифт, который почему-то windows-1251, хотя в настройках TB указано, что должен быть английский (на torcheck.xenobite.eu показывает такое:
LANGUAGE: en-us,en;q=0.5
ENCODING: gzip, deflate
CHARSET: windows-1251,utf-8;q=0.7,*;q=0.7 – и как изменить это б-ство?! Предлагает поменять его на 8859-1
Также ругается на размер "browser window" (которое он определил без включенного JS!!!), причем рекомендует его поменять на другие параметры.
И как это сделать?!
Гость (11/11/2011 12:41)   
Если пользователь под редким профилем (например похожим на редкую операционку со специфичными настройками — а не на виндоанонимусов) засветился на ресурсе "долой преступный режим" и также кто-то с похожим редким профилем пишет (ещё и стилистически сходно) на форуме любителей аквариумных рыбок и пр., то можно собрать всё больше идентифицирующей информации об этом профиле, хотя бы со исходящих узлов.
На данном этапе, это важнее, чем суперпараноидальные настройки для гиков. Также как важнее и массовость за счёт простоты использования. Для анонимности нужны толпы.


С этим можно согласиться, но ... большое но. В случае прямого раскрытия ip, можно не собирать дальнейшую информацию, а сразу выезжать, расстреливать или бросать в концлагерь. Как водиться в России и нек. др. странах.

Если Tbutton не настроить на управление системного тора через контрольный порт, то это никак не поможет. Даже когда его включат в связку, вероятно только в связке эта фича и будет нормально работать.

Не совсем понял, он еще не включен в связку TBB? Или речь идет о включении в связку системного Tor'а?

P.S. А что остается гикам?! Ждать, когда за ними приедут?!
— unknown (11/11/2011 12:42)   
на некую подпись (signature), причем к моему ужасу оказалось, что она одинаковая под браузерами, открытых под разными локальными юзерами, и не меняется в зависимости от очистки кэша – это еще что за ужас?!

Вероятно, это просто хэш от собранных ими параметров. Если у всех пользователей TBB он будет одинаков при любых условиях, тогда это хорошо. Если это наоборот, мера отклонения от сферического среднего TBB, то тогда это плохо.
Гость (11/11/2011 12:58)   
Ну уж я не знаю, распаковал TBB под незаторенным юзером, предварительно удалив его прежнюю диру, запустил, все равно этот тест ругается:


TBB последней версии. Может, у них просто залочен тест под данные старой версии TBB?
— unknown (11/11/2011 13:09)   
Или тест глючный, или TBB несовершенен и даёт утечку инфы для профилирования. Вполне вероятно, что всё сразу.
Гость (11/11/2011 13:33)   
unknown, я где-то смотрел, что ты используешь TBB американскую версию.
Интересно, может это связано с использованием мною версии для другого языка? В случае подтверждения этого предположения, получается, бага в TBB, ибо он, как я понимаю, должен давать одиковую инфу сайтам независимо от своей "язычности"?
— unknown (11/11/2011 13:38)   
Если инфа разная — то это баг.
Гость (11/11/2011 17:31)   
Интересно, в американской версии подпись – та же, только тест говорит, что она правильная.
А вот что касается шрифта – то там
И в torcheck.xenobite.eu – то же. Похоже, что русская версия гадит кодировкой, не в полной мере этот вопрос решен.
Постить багу?
— unknown (11/11/2011 17:48)   
да
Гость (11/11/2011 17:51)   
Постить багу?
Оно?[link18]
— unknown (11/11/2011 17:59)   
А, так его четыре года закрыть не могут? Тогда не надо постить. У них же там нет раздела "Юмор".
Гость (11/11/2011 19:18)   
unknown, Майк в своем блоге https://blog.torproject.org/bl.....-panic#comment-12619[link19] рекомендовал (похоже тебе) обсудить вопрос пакетного торбраузера с разработчиком Дебиана?
Не пробывал с ним общаться?
Гость (11/11/2011 20:42)   
Борьба с профилированием и опасными всякими фичами это хорошо, но о функциональности тоже не надо забывать.
Ибо, например, многие необходимые сайте не желают работать без JS, и т.п.
Конечно, можно запускать браузер в вирт. машине, чтобы JS не мог "украсть" лишние данные, но, с другой стороны, теперь, судя по документы, приведенномму unknown, непонятно, что вообще JS может "красть". Я так понял, что разработчики Tor не исключают, что JS научился тому, что раньше умели только Java-апплеты?!
Кстати, это говорит в очередной раз в пользу системного Tor и прозрачного торифицирования.
Далее, следует отметить, что многие сайты вообще используют какие-то кривые JS и имеют такую ужасную функциональность, что не хотят работать с TBB или даже торифицированным стареньким FF (3-).
Причем это официальные правительственные сайты, которые приходится регулярно использовать в практической работе.
Например, речь идет о kad.arbitr.ru и my.arbitr.ru, которые написаны на каком-то самопальном CMS с использованием совершенно кривых JS (кстати, kremlin.ru и gov.ru в этом отношении не лучше, но там нет такого функционала и поэтому с ними таких проблем не возникает, по крайней мере пока).
Соответственно, периодически, по мере прикручивания к ним очередных фич, они перманентно перестают работать с заторенными браузерами.
Так, my.arbitr.ru совершенно не хочет корректно работать с TBB, с iceweasel с TB кое-как работает, и то несколько раз ломали, и после диких скандалов в переписке восстанавливали. Потому что iceweasel стабильный, а Aurora – нестабильная, бета- или даже альфа-версия, и они типа не намерены делать сайт вполне работоспособным с ней.
С другой стороны, это может быть проблемой веб-мастеров. Но согласитесь, одно дело – когда речь идет о сайте какой-то говнокомпании, услугами которой можно пользоваться или нет, а в данном случае – речь идет о правительственном органе, не обращаясь к которому, живя в этой стране, жить практически невозможно.
— SATtva (11/11/2011 20:51)   
Я так понял, что разработчики Tor не исключают, что JS научился тому, что раньше умели только Java-апплеты?!

Нет. JS всегда мог собирать профилирующие сведения, просто до проекта Panopticlick никто не задумывался о том, насколько запущена ситуация, и что даже без доступа к IP-адресу можно уникально идентифицировать пользователя из миллионов других.

По этой же причине "тупо" установка браузера в виртуальную машину нисколько не исправит проблему, если пользователь начнёт навешивать на него все любимые расширения и настраивать их под свои вкусы.

Кстати, это говорит в очередной раз в пользу системного Tor и прозрачного торифицирования.

Вряд ли.
Гость (11/11/2011 20:55)   
Любители покопаться в настройках "about:config", хитрым образом навесить файрволлы и пр. явно не упоминаются. Но неявно следует, что они ССЗБ, причём не понимают, насколько сильными буратинами они себе являются.
Собственно, уже ответили выше. Так или иначе, файерволл — это одно, а настройки about:config — другое, и мешать их в одну кучу не следует. Про последних, как про потенциальную угрозу, я вполне согласен. Файерволл же лишь страхует утечки — определить его можно только в случае "у всех IP утёк, а у тех-то гиков — нет => они выделились". Да пошла она в жопу тогда такая анонимность! ;)

Интересно, очистка кэша браузера обычными средствами браузера (стереть всю историю) от них помогает?
Без специальных плагинов — нет. Как минимум, надо ещё делать rm -R ~/.macromedia/* для очистки флэш-куков. Поскольку поле сие — минное, я бы предложил не надеяться на такие вещи и решать проблему кардинально: каждый раз восстанавливать девственно чистый профиль и домашнюю директорию из бэкапа.

на некую подпись (signature), причем к моему ужасу оказалось, что она одинаковая под браузерами, открытых под разными локальными юзерами, и не меняется в зависимости от очистки кэша – это еще что за ужас?!
Вас не удивляет, что под разными юзерами будет показываться, что и там и тут — firefox в качестве браузера? :) С подписью — то же самое. Надо смотреть на то, что именно одинаковое под разными пользователями.

ругается на размер "browser window" (которое он определил без включенного JS!!!), причем рекомендует его поменять на другие параметры.
Человека, не являющегося постоянным читателем этого форума, видно издалека. Исправляйтесь: /comment43167[link20].
Гость (11/11/2011 22:44)   
По ссылке:
Last, but definitely not least, the adversary can exploit either general browser vulnerabilities, plugin vulnerabilities, or OS vulnerabilities to install malware and surveillance software. An adversary with physical access can perform similar actions. Regrettably, this last attack capability is outside of our ability to defend against, but it is worth mentioning for completeness.
Т.е. и сами защищаться не будем, и другим не дадим. Защита тривиальна, хотя и не лежит в плоскости TBB (потому ею они и не должны напрямую заниматься — достаточно лишь предоставить средства для юзеров сделать это самим через виртуалки/системный Tor/разделение по юзерам и т.д.).
— unknown (12/11/2011 15:39)   

похоже :)
нет
Гость (12/11/2011 19:56)   
Если я правильно помню, то при обсуждении TBB LiveCD Tails для "более продвинутых" всё же рекомендовали. Так значит что, в Tails проблема как-то уже решена? Собственные патчи Tails'а?
Гость (12/11/2011 20:16)   
>unknown, Майк в своем блоге [WWW] рекомендовал (похоже тебе)
похоже :)
нет


Может попробуешь? Я бы сам пообщался, но в таких случаях я ощущаю нехватку знаний языка, для того, чтобы свободно в онлайн-чате обсуждать такие вопросы.
Гость (12/11/2011 20:21)   
Если я правильно помню, то при обсуждении TBB LiveCD Tails для "более продвинутых" всё же рекомендовали. Так значит что, в Tails проблема как-то уже решена? Собственные патчи Tails'а?


Вероятно, выложили бы сырцы и описание какое-то в FAQ, как руками делать, для "полупродвинутых" юзеров.
— unknown (12/11/2011 22:02)   

Я вообще онлайн-чатами не пользуюсь. конечно можно было бы попробовать по особому поводу. Мне просто показалось, что Lunar занимается поддержкой правил SELinux. А ничего больше того, что предложено торпроджектом он может и не сделает. Кроме того, нестабильные ветки Debian, на которых всё обычно обкатывается, меня тоже мало интересуют. Можно конечно поискать его среди мантейнеров и посмотреть, какими конкретно проектами он занят.

В FAQ, кстати появился такой вопрос[link21]:
TBB on OSX and Linux has an experimental feature where Tor listens on random unused ports rather than a fixed port each time. The goal is to avoid conflicting with a "system" Tor install, so you can run a system Tor and TBB at the same time. We're working on a feature where Tor will try the usual ports first and then back off to a random choice if they're already in use.


Родят они рано или поздно что-нибудь. И на какой-то старой записи Роджер представлял прозрачную торификацию, как важное достижение в борьбе с утечками для unixоподобных осей. Вероятно это как-то реализуют на новом уровне. В проектах, например была идея подключать к одному клиенту много программ на разных портах, так чтобы для них строились разные цепочки.
Гость (13/11/2011 23:46)   
Объясните пожалуйста, в чём преимущество использования tbb перед простым Тором в виде сокс-сервера? Если это только обобщённый профиль браузера, то его можно самостоятельно сформировать прокси-сервером, через который идёт трафик от веб-клиента к Тору. И кстати, где найти детальное описание этого профиля, в смысле конкретный вид полей в HTTP-заголовках. Правильно ли понимаю, что tbb представляет ценность только для тех кто пользуется ява-скриптами, флешем и т.п. небезопасными наворотами ввиду сложности самостоятельной настройки.

На мой взгляд, самый безопасный способ серфинга – это установка простого Тора (он ведь отдельно доступен на сайте разработчиков), запускаемого от ограниченного пользователя, и отключение ява-скриптов в браузере. Прозрачная торификация достигается двумя путями.

1. Сокс-редиректор redsocks. Работает как сервер, занимающий определённый порт в системе. На этот порт с помощью nat прозрачно редиректится весь исходящий трафик и пропускается через Тор.

2. vpn-сервер за Тором. На соответствующий виртуальный интерфейс направляется весь исходящий трафик. Попутно решается проблема с udp-трафиком.

Ну и разумеется пресечение утечек с помощью файрвола – в сеть выходит только ограниченный пользователь, от которого работает Тор.

По сравнению со стандартным профилем tbb, более безопасным возможно будет динамический профиль, генерируемый скриптом и передаваемым прокси-серверу при каждом запуске или по расписанию. Тогда большинство профилей будет уникальными. Проблема в формулировке правил генерации, чтобы помимо различия между собой профилей, они бы ещё не выделялись из общего фона.
Гость (14/11/2011 00:06)   
Объясните пожалуйста, в чём преимущество использования tbb перед простым Тором в виде сокс-сервера?

Читайте здесь[link16]. Атаки уже давно идут на более высоком и серьёзном уровне, а не на том, который был 5 лет назад.
Гость (14/11/2011 01:28)   
Кроме того, нестабильные ветки Debian, на которых всё обычно обкатывается, меня тоже мало интересуют.

Если оно не попадет в нестабильные ветки, следовательно, не попадет и в бэкпорты, и потом – и в стабильные.

В проектах, например была идея подключать к одному клиенту много программ на разных портах, так чтобы для них строились разные цепочки.


А вот это, как мне кажется, было бы хорошим решением.

Правильно ли понимаю, что tbb представляет ценность только для тех кто пользуется ява-скриптами, флешем и т.п. небезопасными наворотами ввиду сложности самостоятельной настройки.

Ну так уже жевывали – разжовывали, что куча заголовков отправляется браузером, которые могут послужить (а точнее – служат) основой для построения профиля юзера. А многие параметры системы, для получения которых противником раньше нужен был включенный JS, сейчас получаются им через CСS и т.п. фигню.
Меня другое интересует – правильно ли я понял, что профиль пользователя позволяет не только предположить, что такие-то записи там, и такие-то записи сям – принадлежат ему, но еще и использовать для изучения трафика, идущего от потенциального "клиента", для его идентификации?

На мой взгляд, самый безопасный способ серфинга – это установка простого Тора (он ведь отдельно доступен на сайте разработчиков), запускаемого от ограниченного пользователя, и отключение ява-скриптов в браузере.

Вот интересно, а как Вы подадите документы, например, в арбитражный суд через my.arbitr.ru, не включая JS? Никак.

Ну и разумеется пресечение утечек с помощью файрвола – в сеть выходит только ограниченный пользователь, от которого работает Тор.

Ну так это самое главное, зачем первые два пункта?! Или вы все о нем, о мастдае?!
Гость (15/11/2011 20:14)   
Ну так что, никто не знает где найти описание хвалёного Tor Browser Bundle? (исходный код не надо предлагать) Теоретические атаки как-то не особо впечатляют, чтобы променять контроль над ПО и свободу выбора http-клиента на волшебный ящик в виде TBB c иллюзорными преимуществами.

многие параметры системы, для получения которых противником раньше нужен был включенный JS, сейчас получаются им через CСS и т.п.

Насколько я знаю, css-файл просто скачивается и дополняет html-код. Никакого диалога нет без включения js. Что-нибудь конкретное можете привести или это просто слухи?

Как жить без скриптов в браузере – это другая тема, не относящяяся к данной.
— SATtva (15/11/2011 23:03)   
Насколько я знаю, css-файл просто скачивается и дополняет html-код.

С принятием CSS3 в лоно браузеров — уже нет.
Гость (20/11/2011 13:56)   
С принятием CSS3 в лоно браузеров — уже нет.


Вот нафига такой кал придумывают разрабы браузеров?! Они калоеды?!
— SATtva (20/11/2011 14:41)   
Они только реализуют в своём ПО. Придумывает W3C. "Это вебдваноль, сынок".
— Eridan (20/11/2011 14:49)   
Не думаю, что разрабам составит труд сделать опциональными некоторые возможности. Но будут ли?
— SATtva (20/11/2011 15:20)   
Любые опции — это дополнительный код и дополнительное тестирование. Спрос на эти опции всё равно ничтожно мал. Достаточно посмотреть на историю багов, сообщённых Мозилле членами torproject — тот же hardcoded socks timeout сколько лет висел даже при наличии патчей?
Гость (04/12/2011 17:41)   
Придумывает W3C.


Который явно действует в интересах правительств, корпораций и спецслужб, против народов мира.
Гость (04/12/2011 17:45)   
Кстати, насколько я помню, в приведенно unknown'ом документе с торблога особенно не разбирается профилирование с помощью браузерных закладок.
Насколько серьезным образом наличие в браузере закладок профилирует пользователя? Т.е. насколько безопасно создавать эти закладки для удобства поиска часто посещаемых сайтов?
И есть ли какой-то способ безопасного их создания/хранения или чего-то подобного? (не считая конечно просто хратить в plain text или в OOO перечень ссылок).
Кстати сказать, когда я смотрю статистику своих сайтов, там показывает, сколько пользователей сделало закладки на страницы моих сайтов.Мне, конечно, может и приятно "мастурбировать" на эту статистику, пользователям, должно быть, совсем нет. Они об этом даже не задумываются, большинство!!!
Неужели никак нельзя отключить отсылку такой информации на сервер?
Гость (04/12/2011 18:39)   
Браузер может грохнуться, запоров весь профиль. Он в принципе не должен иметь доступ к закладкам (а вдруг ошибка в браузере — исполнение кода, что тогда?). Потому только
просто хратить в plain text
Гость (04/12/2011 19:05)   
особенно не разбирается профилирование с помощью браузерных закладок.
А это вообще возможно ли, не считая упомянутых ошибок в коде браузера (в таком случае считывание букмарков может показаться минимальным ущербом)? Если можно ссылку на примеры по "вычитыванию" букмарков.
Кстати сказать, когда я смотрю статистику своих сайтов, там показывает, сколько пользователей сделало закладки на страницы моих сайтов.Мне, конечно, может и приятно "мастурбировать" на эту статистику, пользователям, должно быть, совсем нет. Они об этом даже не задумываются, большинство!!!
Неужели никак нельзя отключить отсылку такой информации на сервер?
Так надо разобраться в механизме такого "распознавания закладчиков", а потом решать насколько это серьёзно и как это оключать.
— unknown (04/12/2011 19:51)   
Доступ к букмаркам, клипборду — такие уязвимости в браузерах были. На сайте: на некоторых одно время была популярна на самой веб-странице кнопка "добавить в закладки".
Гость (16/12/2011 12:49)   
В общем, последнее время извращался/испражнялся с тем, чтобы при запуске TBB поменять настройки в TB, "натравив" его на системный Tor.
Как уже писал раньше, теперь TBB под прозрачно торифицированным юзером запускается не сразу (сначала происходил фейл, потом надо закрыть видалию и запустить снова), ну а потом убиваю найух видалию и юзерский тор.
Но это еще полбеды. Когда чистишь браузер и меняешь цепочки, приходиться сначала давать команду New Identety (которая не может менять цепочки системного тора), а затем выполнять pkill -1 tor от рута (или через sudo с полномочиями рута).
Только что обнаружил такое: когда пытаешься заюзать New Identity, TBB начинает ругаться, что не может поменять цепочки:

Раньше такого не было (и с этой версией TBB). Не понял, что произошло?
Я понимаю, что разрабы могли прикрутить этот лай, но ведь только что оно так не работало. TBB стало самообновляемым чтоли?
— unknown (16/12/2011 15:59)   

Позднее для вин планировались автоапдейты. Но пока точно ничего такого нет.
Гость (16/12/2011 18:31)   
TBB стало самообновляемым чтоли?
Не сам бандл целиком, но по умолчанию браузер самостоятельно обновляет расширения. Недавно как раз новый торбаттон нарисовался.
— SATtva (16/12/2011 18:35)   
Разве сам TorButton не блокирует по умолчанию загрузку обновлений?
Гость (16/12/2011 23:21)   
Нет, есть запрет дизайна на загрузку с не аутентичных источников через тор для нужд браузера. Но поскольку в настоящее время известных ошибок в коде браузера не известно и загрузка расширений производится через тор с проверкой аутентичности содержимого, то загрузка обновлений для расширений в TBB (и торбаттоном в частности) не блокируется.
Гость (17/12/2011 08:55)   
Гыгы, в TBB (в мозилле тббшной) в нстройках add-ons установлено по дефолту автообновление. Вот уж не догадался бы, что параноики на такое способны!
Сам я раньше всегда настравивал FF изначально, чтобы он у меня спрашивал, обновлять или нет
Гость (17/12/2011 10:09)   
Сам я раньше всегда настравивал FF изначально, чтобы он у меня спрашивал, обновлять или нет
И где там такая настройка есть? При загрузке обновлений самого браузера оно может спрашивать, а вот где вопросы про обновление адд-онов?
— unknown (17/12/2011 13:17)   
Tools — Add-ons — вверху возле строки поиска значок настроек, по нему щёлкнуть и выпадает меню. В меню по умолчанию кажется действительно стоит галка "Update Add-ons automatically".
— unknown (18/12/2011 14:41)   
Обратил внимание: если не стояла галка "апдейтить дополнения автоматически", то после перераспаковки архива с новой версией TBB (связки), версия TB (кнопки) не поменялась. При выборе "искать обновления дополнений" нашлось и предложилось поменять TB. Если автоапдейт дополнений включён — то версия всегда новая. М.б. действительно, TB может апдейтиться независимо от TBB?
Гость (11/04/2012 10:30)   
unknown, давайте вернёмся к обсуждениям.

А для TorBrowser не запускать прилагаемый к нему скрипт, который стартует локальный тор, видалию и сам браузер. Лучше запускать непосредственно только ../tor-browser_en-US/App/Firefox/firefox. ک[link22]

Если запукать непосредственно, не знаю какая конфигурация firefox запускается (хотя она работает), но луковицы сверху нет. Меня это смущает, потому решил так не делать.

трафик будет дважды заворачиваться в Tor при прозрачной торификации юзера и зверски тормозить. ک[link23]

Получить статистику через дважды завёрнутый Tor почти нельзя (если только не ждать по 10 мин), там есть метки ячеек. ک[link24]

Попытки выкачать статистику через дважды заторенное соединение, получить ответ сначала от тора, а затем от браузера в видалию об успешно установленом соединении (а иначе в связке никак) стали очень сильно тормозить. Tor не даёт строить цепочки больше трёх узлов, там есть какой-то вероятностный механизм в протоколе, который определяет по ячейкам в трафике, на сколько узлов они отстоят в цепочке, чтобы так не делали (иначе можно было бы задосить Tor-сеть бесконечной цепочкой). Поэтому дважды заторенные соединения почти не работают. ک[link25]

В своих ответах в рассылке разработчики об этом умолчали (вероятно потому, что механизм недоделан и несовершенен), но в спеках это есть.

Не берусь судить, что есть в спеках, но я спокойно запустил TB через дважды заторенное соединение (прозрачная торификация на внешнем рутере + собственный Tor из TB). Ждать, конечно, пришлось, но явно не 10 минут: может быть, минуты 2 — не больше. Да, я согласен, что это тормозит, но один раз можно дождаться финального запуска браузера с видалей и прочими интерфейсными окошечками, чтобы потом их правильно отредактировать.

Есть рабочий вариант как сделать юзера прозрачно торифицированным, а все что идёт через TBB выпускать наружу. Но любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.

Не знаю, интересна ли кому-то такая полупрозрачная полуторификация.

Максимум что теперь можно делать — это выпускать наружу (в т.ч. и из виртуальных машин) весь tcp-трафик от всего, относящегося к TB, не заворачивая его в системный Tor. А в системный tor заворачивать всё остальное от полунедозаторенного пользователя

Ввиду мной выше сказанного, я не вижу в этом необходимости. После того, как TBB через двойное заворачивание в Tor запустился, идём в сетевые настройки Tor'а (в firefox), выбираем пункт «Transparent Torification (Requires custom transproxy or Tor router)», после чего TBB начинает работать напрямую через внешний Tor-рутер. В настройках видалии есть пункт о том, какие приложения надо запускать при старте — я убрал там галочку с Tor'а, чтобы внутренний Tor от TBB не запускался (не знаю, поможет ли это, ещё не проверял).

P.ک: Одним словом, всё совсем не так плохо, так что о чём здесь мы с вами говорили на 7ми страницах — это вопрос :) Или Tor-разработчики только недавно всё починили?
— unknown (11/04/2012 11:05, исправлен 11/04/2012 11:06)   
  • Таким путём не работает фича "Use new identity" в Видалии. Или надо настроить механизм аутентификации на внешний тор (потенциально поимев с этим проблем). Или пробрасывать какой-то скрипт для управления тором на роутере через ssh (ещё один костыль?). Вопрос также: сбрасывание цепочек — это всё, что делает эта опция в Видалии или что-то ещё (помимо очистки параметров сеанса в браузере)?
  • Не вполне корректно таким образом использовать несколько браузеров и анонимных профилей одновременно (т.к. внешний тор общий, с общими цепочками, гвард-узлами и т.д.). Опять получаем псевдонимность вместо анонимности.

Разработчики похоже также зашли в тупик и не смогли реализовать простой способ сделать тор отдельным пакетом вне состава связки. Может допилят тему с подключением по разным портам, чтобы было несколько разных управляющих портов, так чтобы это всё работало из коробки.

Гость (16/04/2012 09:17)   

К сожалению, не помогает: при старте видалия ничего не запускает кроме своего окошка, пока не скомандуешь запустить Tor. И вот только запустив свой Tor, она запускает браузер (которому этот Tor, естественно, совершенно не нужен — там transparent proxy). Больше похоже на обычный баг, чем на фичу: не продумали согласованность настроек для такого случая. Впрочем, запуск внутреннего Tor'а (завёрнутого в Tor прозрачной торификацией) быстро происходит, потому неудобство скорее косметическое.


А зачем нужна аутентификация на внешнем Tor'е? Не проще ли отключить Control Port? Он всё равно интересен скорей как фича для дебага.


Дык рутером всё равно надо откуда-то управлять. Создаёте дополнительного доверенного юзера, который может туда логиниться по ssh и всё делать. Тот юзер, которого торифицируем, не сможет туда залогиниться — прав не хватит.


При чём здесь сбрасывание цепочек? Если вы про
пункт о том, какие приложения надо запускать при старте — я убрал там галочку с Tor'а,
то эта опция отключает запуск Tor'а, идущего в поставке с TBB.


Замечание совершенно верное. Если нужен ещё один профиль, то делаем ещё один тунель до рутера, на котором поднимаем ещё одну прозрачную торификацию. В этом[link26] примере даны, кстати, настройки для случая двух прозрачных торификаций, но разделение идёт по физически разным сетям1, а не по разным «аутентификациям», хотя и последнее, в принципе, делается2. Другой подход — никогда не пользоваться обоими профилями одновременно: каждый раз сбрасывать все настройки3 и переподнимать Tor заново, когда нужно переключиться на другой профиль (хотя как по мне, это костыль).


Дело не в способе4, а в том, чтобы это работало, не привнося дополнительного профилирования — так будет точнее.


Да, было бы не плохо. Раз в альфе есть[link27], то имеется надежда, что допилят. С другой стороны, я бы на такой механизм в серьёзных случаях полагаться б не советовал. Даже из общих соображений понятно, что если надо разделить нечто на две нескоррелированных части (и так сделать можно), то всё должно быть разное5 — это будет надёжней.


1Т.е. нам понадобились бы разные компьютеры за Tor-рутером.
2Проблема здесь будет в том, что один юзер на машине должен ходить в интернет через один gateway, а другой — через другой, и никогда иначе. Разные gateway'и привязываем к разным туннелям до рутера. Через виртуалки это решается проще всего, но можно и без них[link28] (iproute2+iptables).
3Не забывайте, что при переключении надо так же сбросить и состояния (state) в файерволле — уже существующие состояния не убиваются изменением правил. В BSD для этого есть pfctl -k source или pfctl -k source -k dest. Автоматизированного убивания всех стейтов вроде бы нет (хотя можно написать скрипт).
4Так уже было ранее, и это работало, они просто сломали.
5И ОС другая (виртуалка), и Tor другой, и пользователь, под которым это работает, и даже внутренние конфиги в $HOME.
— unknown (16/04/2012 10:11, исправлен 16/04/2012 10:12)   

Я организовал запуск TBB через отдельную группу, вывод трафика всей группы напрямую в сеть и прозрачную торификацию всех не-TBB соединений пользователя. Так, как это описано здесь[link29].


Возможно, с точки зрения ваших потребностей (модели угрозы) в этом полно недостатков (например, от гипотетической уязвимости в TBB такие настройки файрвола не защитят). Но зато для меня лично минимум телодвижений и есть свои плюсы: можно элементарно использовать профили с разными TBB и торами (у каждого будет своя статистика, гвард-узлы и т.д.); при щелчке на значок "Use new identity" будут сбрасываться тор-соединения (цепочки) и параметры браузера только для конкретного TBB. Меня такое решение устраивает, поэтому я пока что потерял интерес к теме.

Гость (16/04/2012 10:57)   
У меня просто через "дважды заторенное" соединение статистика выкачивается, и я потом переключаюсь на системный Tor.
Если правда не работать на компе несколько дней, это статистика может долго выкачиваться. А когда работаешь – достаточно быстро.
Поэтому я лично пока для себя предпочел это "кривое" решение, но позволяющее защититься фаерволом.
Ну а что касается разных профилей одновременно – интерес в этой реализации есть, но на практике несколько сложных сетевых работ (проектов) осуществлять одновременно всегда сложно. И всегда можно ошибиться и перепутать.
Поэтому я лично обычно делаю не одновременно.
Гость (16/04/2012 11:55)   
Есть идея сделать глобальный проект-инструкцию, где всё будет: и виртуалки, и Xen, и прозрачная торификация, и отрицаемость шифрования и прочее. Думаю, unknown'у и предыдущему Гостю это будет небезыинтересно. На данном этапе уже понятны все детали (кроме одной) на уровне концепта, так что вопрос остаётся скорее технический: собрать, протестировать, описать в инструкциях. Но поскольку это слишком глобально и сложно, времени на это уйдёт много, так что не скоро появится. В планах это стоит, поскольку никуда от такого решения не деться (всё остальное — лишь полумеры), а потому будет реализовано сразу же, как дойдут руки.
— Remy (23/04/2012 12:58)   
ke-ke, уже не 13 'апостолов'[link30]
Сначала Майк Перри это понял, а теперь еще и парочка ребят с головного – дала дёру. Разумные люди всегда чуют нехорошие тенденции
Шалом хомячье! ZOGпроджект продолжает надувать мыльный пузырь.
Гость (23/04/2012 13:17)   
расщирение torbutton это по сути дело атавизм, как и http прокси, торпроект будет сам компилить свой браузер с готовыми настройками
Гость (23/04/2012 14:11)   
Продукт оупенсорс,соберите сами ручками,какие проблемы то?
Гость (23/04/2012 17:49)   
Продукт оупенсорс,соберите сами ручками,какие проблемы то?
отличный аргумент))) а смысл? если все логи в конечном итоги стекаются на их материнский корабль.
владеющий информацией в наш век, это пострашней терориста с ядреным чемоданчиком)))
Гость (24/04/2012 09:38)   
Что там говорить, конечно несерьёзная организация. До сих пор, даже не удосуживаются, снабдить свой продукт цифровой подписью. Заставляют карячиться с этими убогими, левыми ключами (один дурак подпишет, другой не подпишет).
->В топку и сверху бензином!
— unknown (24/04/2012 09:48)   

Они все как были там, так и остались[link31]. Сейчас новых набирают. Дополнительно, а не вместо.
анонимусы владеют страшной тайной ZOGa, не иначе!
Гость (25/04/2012 12:29)   
не иначе...
Гость (30/04/2012 14:03)   
Писал как-то в их блог, и под влиянием последних тем с пгпрушечки, на полном серьёзе, чуть было не отправил: "Dear Zogproject!"
Гость (18/05/2012 18:04)   
После того, как TBB через двойное заворачивание в Tor запустился, идём в сетевые настройки Tor'а (в firefox), выбираем пункт «Transparent Torification (Requires custom transproxy or Tor router)», после чего TBB начинает работать напрямую через внешний Tor-рутер.

В последней версии торбраузера опять всё сломали уже не работает: траф всё равно нахально рутится в локальный торбраузеровский тор. Более того, выбрав эту опцию и нажав на Apply, приходится очень долго ждать, пока окно настроек закроется.

Проблема решается настройкой на работу через внешний Tor как внешний socks-прокси. Наверно, так даже безопасней, в каком-то смысле. Прозрачную торификацию на сервере можно оставить, если нужно ещё какие-то программы выпускать, но если только браузер или другие, без труда проксифицируемые, то смысла нет — проще всюду прокси указывать. Может быть, оно и к лучшему.

P.S. Ждём новой версии торбраузера, где изменение дефолтно проставляемого адреса socks-прокси будет всё ломать. Пока счёт 1:0.
Гость (10/06/2012 00:31)   
Возможно, с точки зрения ваших потребностей (модели угрозы) в этом полно недостатков (например, от гипотетической уязвимости в TBB такие настройки файрвола не защитят).

Не знаю, идёт ли речь об уязвимости в Tor Browser, но меня, как минимум, однажды, оно уже защитило[link32]. В связи с этим возникает вопрос: при скачке файла всегда всплывает окно с выбором «сохранить на диск» или «открыть, используя приложение» (выбирается из списка). Почему в Tor Browser не отключен второй пункт? Чтобы легче было эксплуатировать уязвимости в просмотрщиках файлов и/или пользовательских настройках? Почему бы не принудить всех сначала скачать файл, а уже потом пусть они сами открывают его чем хотят, осознавая весь риск этих действий (в особых случаях — предварительно отключив интернет[link33], например). Всё из-за пресловутого юзерского удобства и дружелюбности к пользователю? Имхо, это серьёзный риск.
Гость (10/06/2012 03:34)   
/comment48825[link34]:
$IPTABLES -t nat -A OUTPUT -m owner --uid-owner debian-tor -j ACCEPT
$IPTABLES -A OUTPUT -m owner --gid-owner tbb-tor ! -p tcp -j DROP
$IPTABLES -A OUTPUT -m owner --gid-owner tbb-tor -p tcp --dport 53 -j DROP
$IPTABLES -A OUTPUT -m owner -m owner --uid-owner tornet_user --gid-owner tbb-tor -j ACCEPT
$IPTABLES -A OUTPUT -m owner --uid-owner tornet_user -j DROP
unknown, правила DROP не нужны (и, вообще, выглядит как-то грязно), т.к. всё, что нужно запретить, должно быть запрещено по умолчанию. К тому же, анализировать небольшое число только разрешающих правил проще, чем и разрешающие и запрещающие вместе. Последовательные запрещения-затычки через DROP выглядят как[link35] «Problem → Proposed solution → Deanon! → Revised Solution with new DROP rule... → Implement → Deanon! → ... → ad infinitum». Не знаю, как официально называется критика такого подхода, но вот это[link36] похоже на то:

Торндайк (1898) полагал (и экспериментально демонстрировал), что механизмом решения задач животными является не понимание и рассуждение, а метод проб и ошибок[link37].
Гость (10/06/2012 03:36)   
Вдогонку: почему 53ий порт забанен по tcp? Вдруг какая-то guard-нода решит работать на 53ем порту? Насколько я знаю, ограничений по портам на Tor-ноды нет.
— unknown (11/06/2012 00:42)   
Чуть лучше такой вариант[link38].

Это так для пользователя tornet_user или $ANONYMOUS_UID по ссылке. Глобальные настройки файрволла "запретить всё" вне контекста анонимного пользователя здесь не рассматриваются принципиально. Это личное дело каждого.

Группа tbb-tor — это половинчатое решение. Она беспрепятственно выводит наружу весь трафик от TBB. В случае уязвимости в FF это будет и деанонимизирующий трафик. Единственно, что можно — это не пускать трафик на определённые порты (например DNS) и блокировать не-TCP протоколы. Это помогло защититься от случайных утечек в браузере такого вида[link39].

Но поскольку разделить внутри группы сам FF и Tor невозможно (они оба запускаются видалией и поэтому будут иметь одну группу), пришлось пойти на такой компромисс.

Здесь нет возможности составить неущербное правило, поскольку защищаемое приложение в этом отношении ущербно. Если это сказать в мягкой формулировке, то разработчики с этим соглашаются и предлагают разрабатывать решения[link40]. "Спонсор Z" даже выделяет финансирование под это дело, а Роджер намекает на оплату (правда вероятно кому-то одному — как главному исполнителю, представителю или организатору).

Если не путаю, то DNS возможен и по tcp (хотя на практике это редко используется), поэтому во избежания утечек через этот порт лучше его заблокировать и обойтись без гипотетической возможности соединяться с такими входящими узлами.
Гость (11/06/2012 02:03)   

Казалось бы, надо делать как наоборот: запретить всё вне контекста анонимного пользователя, а потом написать «теперь добавляйте отдельные разрешающие правила на свой страх и риск для остального, что вам нужно в системе (помимо выхода анонимного пользователя в Tor), тщательно их анализируя». Иначе в чём смысле контроля на уровне firewall'а? Программы/юзеры, имеющие доступ в сеть, должны быть известны администратору поимённо, как и права доступа к этой сети.


А чем хуже такое[link41] компромиссное решение? Статистика через двойное заворачивание в Tor выкачивается довольно быстро, если Tor используется регулярно.


По ссылке речь идёт об ограничении функционала Tor Browser средствами SeLinux, что слишком далеко (и намного сложнее) от простой ручной заглушки «закрыть firewall'ом». Последняя в час X способна защитить от непосредственной утечки IP при любой узявимости, более слабой, чем local root.


Есть, если воспользоваться тем, как сделал Гость в /comment52149[link41].
Unknown, вы перестаёте быть главным параноиком форума, разве так можно?
Гость (11/06/2012 23:49)   
Читаю я этот топик и не врубаюсь, чем не подходит решение, одобренное аж Mike Perry?
http://comments.gmane.org/gman.....ork.tor.general/2853[link42]
Гость (12/06/2012 00:57)   

Тем, что Майка Перри траблы вот такого рода[link32] не интересуют как класс. Некоторые пользователи с таким положением дел не согласны, а потому пытаются выработать приемлемое решение. Короче говоря, любая экспуатируемая узявимость в firefox из TBB (не путать с самим Tor) или программах, работающих под торифицированным юзером, — и «здравствуй, деанон!» сразу.
Гость (12/06/2012 01:34)   
и «здравствуй, деанон!» сразу.
это справедливо во всех случаях? и при прозрачной торификации и на уровне приложений?
Гость (12/06/2012 01:50)   
Дело не в прозрачной торификации, а в закрытии firewall`ом пакетов, идущих напрямую в сеть от торифицированного пользователя. Firewall потенциально позволяет обезопасить оба случая [как «прозрачную торификацию», так и «уровень приложений » (просто прокси)], но для этого нужно, чтобы Firefox из Tor Browser Bundle работал через Tor, запущенный под другим юзером (тогда firewall сможет надёжно фильтровать пакеты по принадлежности пользователю). В текущих же сборках сделали такую гадость, что TBB категорически отказывается нормально работать через чужой Tor (не тот, что в связке). Соответственно, приходится изобретать костыли: например, ждать, пока запустится внутренний Tor, выкачав статистику через дважды заторенное соединение (иначе браузер просто не запускается скриптом), а потом переключаться на внешний Tor в настройках TBB (раньше было достаточно указать «использовать прозрачную торификацию», теперь — руками указать IP:порт внешнего Tor`а).
Гость (12/06/2012 01:56)   

Какой-то поток бреда...Вас решение по ссылке выше чем конкретно не устраивает и вынуждает красноглазить так, как здесь на 9 страницах предлагают?
Гость (12/06/2012 02:02)   

Нахрена? Использовать сразу "--no-remоte -profile ..." религия не позволяет?
Гость (12/06/2012 03:03)   

Расскажите нам, как технически сделать
run vidalia+tor as user Tor and "TB/App/Firefox/firefox --no-remte -profile TBProfile" as default user A
Только учтите сразу, что пользователь Tor — системный (соответствует записи tor:*:XXXX:XXXX:Torifier:/var/chroot/tor:/sbin/nologin) и запускать программы от чужого пользователя может только root. Более того, лишняя дыра в виде видалии для контроля используемого Tor`а тоже не нужна (в нами предлагаемом решении её нет).
Гость (12/06/2012 03:54)   
В текущих же сборках сделали такую гадость, что TBB категорически отказывается нормально
весь комент копировать не буду..
а что мешает взять обычный FF и настроить его, как это делают разработчики Тор? и не придется ждать запуска связанной Видалии. в чем проблема то??
Гость (12/06/2012 08:26)   

Если вас это по каким-то причинам не устраивает, есть sudo.
Ну исключите ее из вашего конкретного решения, какие проблемы опять же?
Гость (12/06/2012 13:50)   

Навесить tor button поверх обычного firefox? Не получится. Для анонимности нужны вещи, которые на уровне примочки в виде tor button не реализовать. Потому приходится использовать специальный браузер. Но, беда, он не идёт отдельно, а только в связке с видалией и своим внутренним Tor`ом. Обсуждалось в /comment48273[link43] и было у нас в новостях (ссылку быстро не нашёл). Если кто-то не следит за темой и ресурсом, а потом приходит через пол года с претензиями «я ничего не понял», это его проблемы. Я уже задолбался гуглить и тыкать в ранее бывшие ссылки и обсуждения (их ещё и читать не хотят).


«Развязать» связку не получается. Напишите инструкцию (и протестите решение) о том, что и как поменять в start-tor-browser-скроипте, чтобы всё снова могло работать отдельно — мы с удовольствием ознакомимся.


Как? См. выше.
Гость (12/06/2012 14:23)   


Как со стенкой разговариваю. Вам привели ссылку на решение. Вы не понимать по-англицке? Чайник в никсах? Ну так и скажите и вежливо попросите перевести или объяснить. То, что вам легче тридцать три раза заворачивать тор в тор и гневно писать о том, что разработчики все поломали – ваши проблемы, лично я в таком случае свое время тратить на объяснения не буду.
Гость (12/06/2012 14:51)   

Нет, переводить не надо, а вот объяснить можно, а то в упор не вижу связи между вашей ссылкой и задачей из /comment53277[link44].
Гость (12/06/2012 14:56)   

Рут с графическими приложениями? Или sudo с ними? No way[link45].
Гость (12/06/2012 15:20)   


Есть группа net, которой разрешен выход в инет. Есть юзер tor, который входит в группу net.
В vidalia.conf убираем опцию загрузки браузера, запускаем
sudo -u tor start-tor-browser

ИЛИ скачиваем стэндалон Tor и запускаем Tor:
sudo -u tor tor
ИЛИ...ИЛИ...короче, Tor запустился и работает

Запускаем браузер из TBB, к примеру, от обычного рабочего юзера, которому доступ к сети запрещен
/path/to/TB/App/Firefox/firefox --no-remote -profile /path/to/TB/Data/profile
Настраиваем TorButton соответствии с тем, как запустился Tor. Еще возможно надо с xhost поиграться.

Хотя прозрачная торификация вообще всего траффика (или траффика определенного юзера/группы) – зло. В Tails к счастью это поняли, правда совсем недавно.
Гость (12/06/2012 16:27)   

Как всё просто оказывается. А мы тут с unknown'ом, дураки, целых 10 страниц не понятно что обсуждали.

Потенциально юзер, из-под иксов которого запускается скрипт start-tor-browser, считается скомпрометированным. И даже в этом случае зловредный код не должен найти возможность выйти наружу. Что такому зловреду помешает выполнить sudo -u tor malware? Костыли в виде ограничений на то, что позволено делать sudo? Так зловред может сам скрипт start-tor-browser отредактировать. Пароль на группу net? Так вводить любые кредентиалсы, регулирующие доступ в сеть из-под скомпрометированного пользователя — себе удавка.


Запустить системный Tor проблемой не было никогда. Дело только в том, как к нему привязаться в софте, который к нему привязываться не хочет.


Вот это уже интересней. Тоже так пытался, но не взлетело. Сколько ни экспериментировал, какие бы настройки в TorButton (и просто сети в firefox) ни менял, а результат всё тот же: firefox, таким образом запущенный, категорически отказывается работать с сетью: запускается с выключенным torbutton, после чего этот torbutton никак не включить. Может, в самых последних версиях уже исправили, я не проверял. Скорее всего, где-то сделали типа защиту от дурака, которую не так легко обойти. Можете этот пункт подробнее описать: где и что меняете в настройках firefox/torbutton после такого запуска?


С этим согласен[link46]:
Наверно, так даже безопасней, в каком-то смысле
Гость (12/06/2012 16:34)   

Можно, конечно, под отдельным юзером с отдельными иксами запустить start-tor-browser, а потом пытаться натравить на него TBB-firefox из-под другого юзера (и в других иксах). Даже если не говорить о том, как плохо видалии много позволять, основной затык остаётся в том, что
/path/to/TB/App/Firefox/firefox --no-remote  -profile /path/to/TB/Data/profile
с torbutton не работает (иначе проблема решалась бы тривиально).
Гость (12/06/2012 16:59)   

Так а я о чем...
Если юзер скомпрометирован и имеет доступ наружу, то зловредный код, запущенный от юзера, тоже будет иметь доступ наружу, о чем тут вообще рассуждать.
Если скомпрометирован пользователь, которому разрешено пользоваться sudo, то вас уже ничего не спасет.
Нужно запустить Tor на 127.0.0.1:9050, запустить браузер и указать в торбатоне, где у вас тор висит. У меня так вообще отмечер "Использовать рекомендуемые параметры прокси" и все работает. Если tor и бразуер запускаются с разных пользователей, повторяю, возможно нужно смотреть в сторону xhost.
Гость (12/06/2012 17:30)   

С xhost уже начинали[link47], были предупреждения[link48] и epic fail[link49]. Я бы не стал xhost советовать.


Вы путаете вещи. Предполагалось, что
  1. Юзер может быть скомпрометирован.
  2. Юзер не имеет непосредственного доступа наружу (только через Tor/proxy).
Тогда настройки firewall`а, оказывается, спасают (поскольку оный умеет фильтровать трафик по юзерам), т.е. не позволяют юзеру соединиться с каким-либо хостом в интернете в обход Tor (соединяться с произвольным хостом имеет право только тот юзер, от которого запущен демон tor`а, а обычный «заторенный» пользователь, работающий в Tor`е, не может получить привелегии юзера, из-под которого запущем демон, зато может им пользоваться как транспортом своего трафика).


Я прописывал внешний IP из локальной сети, т.к. Tor был запущен на рутере (другой машине). Если TBB-Firefox запущен из видалии, это даже работало. Если же firefox запущен напрямую, то не работало (за исключением, возможно, фикса в последних версиях, которые я не тестировал). К «рекомендуемым параметрам» (по классификации интерфейса torbutton) такая настройка точно не относится.
Гость (12/06/2012 18:10)   

Нет, ну без включения мозга вообще к вопросам безопасности не стоит подходить. 30 секунд гугления по теме xhost выдадут десять ссылок, где жирными выделениями будет написано "To disable the access control type xhost + which allows any host to access your X server. You probaly don’t want to do this because it allows the world to open windows on your screen and grab the keystrokes you type". Еще 2 минуты приведут, к примеру, сюда[link50] и все сразу станет ясно, даже без штудирования (весьма убогого, кстати) мана.

По юзерам я уже потерялся, о каких именно пользователях идет речь, но это в общем не важно в контексте темы "как запустить браузер отдельно от Tor", в чем, как я понял главный затык у вас.


И зачем? Если вы подрубились к роутеру, на котором работает Tor, то ваша галка – Прозрачная торификация.
Гость (12/06/2012 18:35)   

При включении мозга первым делом отказываются от самых небезопасных механизов в системе: от sudo, от su, от gksu, от xhost, от суидности, от запуска недоверенных прог под иксами с довереннм юзером, от управления системой из-под заторенного юзера и т.д, тем более, что это (при правильной настройке) не влечёт за собой весомых неудобств. Во всяком случае, как вы сами же написали,
Если скомпрометирован пользователь, которому разрешено пользоваться sudo, то вас уже ничего не спасет.
(и xhost это тоже касается). В этом треде как раз обсуждается попытка решить проблему защиты (потенциально) скомпрометированного юзера от деанонимизации.


Мне кажется, разжёвываю так, что понятно должно быть даже виндузятнику.


Да, можно так сказать. Однако, это не отрицает мной вышесказанного про кучу небезопасных решений, которые вы здесь напредлагали.


Затем, что недавно сломали[link51] — это раз, и что так безопасней[link52] — два. Вы тред решили принципиально не читать?
Гость (12/06/2012 18:48)   
Хотя прозрачная торификация вообще всего траффика (или траффика определенного юзера/группы) – зло
так в чем же суть (!) зла? с какой версии Tails разработчик учел данный вывод?
Гость (12/06/2012 18:58)   
Мне кажется, разжёвываю так, что понятно должно быть даже виндузятнику.
ну не совсем :-))
Гость (12/06/2012 19:09)   

В том, что неумелое пользование прозрачной торификацией для всего и вся ведёт[link53] к профилированию. Впрочем, многие считают, что это не настолько страшно.
Гость (12/06/2012 19:11)   

То-то я смотрю тут 10 страниц – это одни восклицания про то, как приятно и удобно работать.


А доказательство тому – какой-то дурачок неопытный пользователь, который расшарил иксы на весь инет, потому что тупой не подумал, прежде чем действовать? Ну тогда, действительно, вы правы. Следующий левел, я так понимаю, – это wget и lynx.

Ладно, не буду разводить оффтопик, я вам все сказал, что хотел.


В том, что не всем приложениям, запущенным от данного юзера, необходимо предоставлять возможность передачи информации по-умолчанию.


0.10[link54]
Гость (12/06/2012 19:14)   

Подробнее раскрыто в /comment51733[link55], /comment51825[link56] и /comment51958[link57].
Гость (12/06/2012 19:41)   

Приятность и удобство не стоит приносить в жертву безопасности. Распаковать TBB в директорию и запустить скрипт ещё проще, только ни для чего серьёзного в плане анонимности не годится.


Команда
$ http_proxy=http://127.0.0.1:8118 wget -t inf -c -O file http://server.domain
(для privoxy, замаппленой на Tor) хорошо работала и была очень полезной.


Не подменяйте аргумент. Выше было написано
В этом треде как раз обсуждается попытка решить проблему защиты (потенциально) скомпрометированного юзера от деанонимизации.
Для решения этой задачи xhost и разновидности sudo не подходят принципиально, о чём вам явно и было указано. Более того, вы с этим даже согласились.

P.S.: Если вы не принимаете максиму «при прочих равных, чем система проще, тем безопасней», то нам будет трудно найти общий язык. За указание на то, что у вас в некоторых конфигурациях TBB-firefox запускается без видалии и работает корректно — спасибо, это интересная деталь. Остальное, к сожалению, конструктива в рамках обсуждаемой задачи не привносит.
Гость (12/06/2012 19:58)   

Ну ты за всех-то не говори!
Гость (12/06/2012 21:24)   
Сейчас unknown прийдёт, он тебе даст! за всех скажет.
— unknown (12/06/2012 22:06)   
В тикетах где-то лежит старый подробный совет с коментариями Роджера, как подружить Видалию с системным тором. И вроде даже при использовании new identity будет состояние цепочек сбрасываться.

Во-первых у меня не получилось. Ну не осилил, хотя не особо и старался. Потому что (и во-вторых) там есть ряд недостатков:

  1. Системный тор от торпроджекта обновляется реже, чем в TBB, работает с другой версией OpenSSL (системной). Будет теоретическая возможность распарсить отличие такого трафика от условного большинства анонимов на исходящи узлах.
  2. нужно открывать дополнительный управляющий порт для системного тора и использовать HashedControlPassword, а уязвимости в этом меанизме аутентификации уже были.
  3. Максимальный уровень анонимности нужен не всегда. В этом проблема разногласий и непонимания. Хотелось бы иметь в системе несколько разных пользователей, каждый со своим уровнем анонимности. От нулевой до максимально параноидальной. Чтобы компрометация одного не приводила к утечке сведений о другом. Один пусть вообще большую часть времени неанонимно и без тора ходит. Другой с прозрачной торификацией: смотреть что-то не особо критичное, зато и радио послушать и покачать что-то не особо компрометирующее в фоне, иногда попользоваться теми же линксом, wget и специфическими программами, которые снижают анонимность из-за своего уникального профиля, но бывают изредка нужны. Наконец, третий максимально защищённый пользователь пусть не имеет никакой прозрачной торификации и ему по умолчанию всё запрещено, но пользоваться им будет наименее удобно. Чаще всего будет использоваться средний пользователь. Но нужно чтобы они все могли работать ещё и одновременно, поэтому наличие у каждого своего тора со своими гвардами, цепочками и внутренним состоянием — это хорошая фича.

Третий пункт — это претензия на некую концепцию (гибкость в выборе анонимности; выбор компромисса между удобством и безопасностью по своим потребностям). Пока проще всего она реализуется параллельным запуском иксов и настройками файрволла. И лучше эта концепция пока будет работать в ущербном виде (обеспечивая уровень безопасности лучше, чем голый TBB, но худший, по сравнению с полностью закрученными гайками), потому что отказываться от неё ради большей анонимности не хочется. Это рабочий прототип. Дальше интересно было бы навесить SELinux, но тут у меня стопор, что как раз так презираемый многими sudo будет поддерживать SELinux только в Debian/Wheezy, который пока нестабилен. А без sudo не получиться гибко менять контексты безопасности и использовать преимущества подхода с разделением по пользователям и SELinux-ролям и правилами файрвола одновременно. Дальше интересно поэкпериментировать с LXC (заведомо неполноценным и обеспечивающим ничтожно малый уровень безопасности при сравнении с реальными виртуалками, но более перспективный при связке с SELinux) .

Но всё это откладывается и растягивается на годы — по мере того, как будет совершенствоваться нужный софт, его можно будет включать в использование, а не довольствоваться пусть и более безопасными, но заведомо некрасивывми решениями (двойное заворачивание с перезапуском тора, сплошное заворачивание гаек в ущерб гибкости), работающими "здесь и сейчас" без перспективы. Паранойя — хорошо, но экспериментирование с заделом на будущее — интереснее.

Наконец, вместо того, чтобы очень много городить, можно ожидать появления улучшений в самом софте. Возможно, простой патч для TBB-тора и TBB-браузера помог бы им запускаться с разными системными группами. Это бы приняли в проект и проблема с файрволлом была бы решена. В альфа-версии тора уже (?) есть (возможно неполноценная) поддержка соединений по нескольким разным портам для прозрачной торификации одновременно. Для каждого порта в идеале мог бы быть свой пользователь. Один демон тора предоставлял бы ему персонально своё состояние гвардов и цепочек (вроде так и хотели сделать, но есть какие-то нюансы). И здесь есть поле и для сочетания гибкости и максимы "чем система проще, тем безопаснее".

Готовый SELinux-модуль для TBB тоже был бы интересен. Если бы его поддерживал проект, то всем остальным не нужно было бы его никак настраивать (хотя и переменные для настроек можно было бы включить). Гипотетический преднастроенный LXC-контейнер для TBB, управляемый специальным модулем был бы ещё интереснее. Возможны какие-то другие технологии. Возможно никто так их никогда и не реализует, не хватит скиллов ни у волонтёров торпроджекта, ни у местной публики.

Но как-то не хочется и делать некрасивые, хотя и практичные решения, выкручиваясь из того, что есть и умеем, представляя, как скорее всего должно быть правильно.
Гость (12/06/2012 23:11)   

Естественно. Третий уровень — специальные цели. Это когда в пользу безопасности можно принести любое неудобство. Если же нужный для этого уровень безопасности недостижим, то лучше вообще не работать с такими вещами, чем постоянно подвергать себя риску.


Я понял ключевое отличие себя от unknown`а: меня интересуют только 2 типа настроек:
  1. Минимальная безопасность (TBB искаропки)
  2. Максимальная (все гайки должны быть закручены).
А unknown`а — первые два их 3 возможных:
  1. Минимальная безопасность (TBB искаропки)
  2. Средняя безопасность (компромисс безопасности и удобства).
  3. Максимальная (все гайки должны быть закручены).
Потому мой 2ой тип никак не отображается на unknown`овский 2ой (и наоборот). Что интересно, раньше (в доTBB-эру) гайки можно было закрутить, потому 2 и 3 по unknown'у соответствовали почти идентичным настройкам. Да, пора вводить поправку на современность классификации.

Лично для меня «средняя безопасность» — как защита от средней сестры ни рыба, ни мясо: с одной стороны — нужны шаги по настройке (из коробки не заработает), с другой стороны — серьёзно на неё положиться всё равно будет нельзя. Возможно, я максималист в духе «раз настраивать, так делать сразу на века надёжно, а иначе и городить костыли вокруг не стоит». Собственно, шаги по пункту 3 — последовательная реализация пункта[link58]
обычных пользовательских программ это часто не касается — они порой бывают ещё более сырыми, чем проприетарные, но, основываясь на надёжности кода самой ОС, такую дырявость можно нейтрализовать.


Очень в этом сомневаюсь. Так или иначе, Tor должен запускать root, а давать root`а/sudo в потенциально скомпрометированного пользователя не умно. Если же разные части связки (TBB) можно будет запускать из-под разных иксов/консолей, это уже не будет единой связкой, это эквивалентно способу независимого запуска компонентов.


Если риск связывания 2ух профилей в один реально критичен, я бы никогда не пользовался такой фичей — только по отдельному tor-демону на каждого юзера (+ контроль firewall`а за портами). Впрочем, как компромисс безопасности и удобства — вполне себе фича.


Интересен, но firewall он не заменит. Ну будет какое-то готовое решение в духе «вот вам чёрный ящик, он работает как надо, верьте нам». А если что-то потом боком выйдет, разведут руками и скажут «ну извините, ошибочка вышла». Если кому-то действительно вдруг нужна высокая степень анонимности, он на такое полагаться не будет. По сравнению с собственноручно настроенным firewall`ом на выходе в интернет, где в реальном времени можно видеть, что происходит (pftop -s1), это не впечатляет. Лично у меня доверия к правилам iptables/pf`у будет в любом случае больше*, чем к чьим-то кустарным правилам SeLinux, которыми будет пользоваться несколько единиц в мире.

*Как программы, эти firewall`ы достаточно хорошо протестированы сообществом.
Гость (13/06/2012 02:27)   
Пишу я тут не часто, мое личное мнение: вероятность того, что найдут косяки в торе на порядки выше результатов даже максимального упорства в обеспечении безопасности софтверными способами. Время и нервы, потраченные на создание извращенных костылей типа тора-в-торе-в-торе и прочее красноглазие, лучше (=эффективнее) потратить на дополнительное железо (3г-свисток на левые данные, например) и возвращение к реальности. И разработчики правильно делают, что мягко так игнорируют и посылают куда подальше просьбы "продвинутых" пользователей: эти просьбы никогда не закончатся, а толку все равно будет 0, если новомодными и супербезопасными фичами не будут пользоваться. Кстати говоря, даже если случится чудо, в случае глобальной утечки именно вы будете выделяться как не подверженные ее влиянию.

Я это пишу собственно не для шизанутых, а для нормальных людей, которые читают эти 10 11 страниц фантасмагории и думают, что они идиоты. На меня вдруг снизошло откровение! Нет! Это не мы тупые, это просто местные параноики е....тые :)

Со всем уважением...
Гость (13/06/2012 07:19)   
Хотелось бы иметь в системе несколько разных пользователей, каждый со своим уровнем анонимности.

потратить на дополнительное железо
Вот кстати да, кому нужен "третий уровень" анонимности пусть лучше раскошелиться на дополнительный недорогой компьютер, благо ему не надо быть мощьным. А если у вас нету лишних $200, зачем вам такая суровая анонимность? :)
Гость (13/06/2012 08:02)   
Зачем дополнительный компьютер? Кулхацкерский подход в духе "одноразовое использование в случайном кафе, потом ноутбук проглотил съел"?

Время и нервы, потраченные на создание извращенных костылей типа тора-в-торе-в-торе и прочее красноглазие, лучше (=эффективнее) потратить на дополнительное железо
Так уже и так 2 компа: один основной, другой рутер. Куда больше-то?

для нормальных людей, которые читают эти 10 11 страниц фантасмагории и думают, что они идиоты.
Чтобы не чувствовать себя идиотом, надо быть в теме, читать все посты, во всех ветках, много лет. Ходить по ссылкам, вникать, что пишут другие. Разбираться с Unixом. Тогда всё будет ОК. Все начинали с нуля, не вы первый.

И разработчики правильно делают, что мягко так игнорируют и посылают куда подальше просьбы "продвинутых" пользователей
Я понимаю прекрасно, что есть такой синдром: чувствуя своё незнание, надо его как-то оправдать. Проще всего сказать, что виноград-то зелёный[link59].

даже если случится чудо, в случае глобальной утечки именно вы будете выделяться как не подверженные ее влиянию.
Ага. Ко всем типа бубон приедет, а ко мне нет. Печали не будет конца и края из-за такого "профилирования".

Те, кто в теме, знают, что за последние 5 лет разных деанонов на программном уровне было масса. Для затравки: раз[link60], два[link61], три[link62], четыре[link39], пять[link32]. Нужны ещё аргументы? Самые умные сделали выводы ещё в 2007-2008ом после эпического фейла с оперой и недокументированными функциями, а остальные до сих пор дожидаются непонятно чего. Можете продолжать успокаивать себя и дальше в духе "ну меня-то это уж точно не коснётся".
— unknown (13/06/2012 10:01, исправлен 13/06/2012 10:05)   

Не обязательно быть в курсе всего, вычитывать весь местный форум, включая специфические темы и быть каким-то фанатиком. Не секта параноиков.


Тема не для того, чтобы посоревноваться в уровне красноглазия и костылестроения. Для тех, кто или хочет выжать результат по максимуму ("закрутить все гайки"), или поэкспериментировать. Кому не надо, так и не надо. Лично я не пользуюсь всем, что предлагаю.


Результат в идеале опять же должен быть не каким-то талмудическим знанием, непонятным непосвящённым и непросвящённым, а простой воспроизводимой инструкцией, которую каждый мог бы докрутить в меру своих потребностей. Поэтому лучше несколько вариантов — простой, посложнее, навороченный, более гибкий, более предопределённый и т.д. Не забывая про принцип неразличимости профилей и пр.


кому нужен "третий уровень" анонимности пусть лучше раскошелиться на дополнительный недорогой компьютер

А если нужен не третий, а промежуточный 2.5, причём несколько независимых профилей-пользователей? Из под одного что-то скачать-отправить, перекинуть скачанное на другой профиль, использованный профиль стереть? Десяток компов держать?


Что-то такое наблюдается у криминала, хацкеров и пр. Даже Дж. Ассандж и его коллеги рассказывали про бесконечную смену комьютеров, мобильников, кредиток, адресов. Им некогда заниматься тонкими настройками, у них есть деньги на решение проблемы путём других издержек.


На торпроджекте тоже есть фанаты рутерного подхода и его противники. Тор висит на рутере, а коннектится всё к нему? А как из под разных пользователей работать одновременно? Или даже из под одного, но сбрасывать состояние тора по "new identity"? Скриптом через ssh вместо встроенного в TBB механизма? Как это делать, не используя sudo и прочие неудобные и потенциально небезопасные костыли?

Гость (13/06/2012 11:44)   
Обнова торбраузера до Tor Browser_2.2.37-1, но firefox почемуто сдаунгредили до 10.0.5 :( Что за хренота Firefox ESR?

юзер-агент торбаттона теперь соответствует браузеру Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0
— SATtva (13/06/2012 11:48)   
Что за хренота Firefox ESR?

https://en.wikipedia.org/wiki/.....nded_Support_Release[link63]
Гость (13/06/2012 13:32)   

Я прекрасно понимаю, о чем тут речь и выступаю резко против всего этого. Мое обращение было к тем, кто не понимает, чтоб они не боялись своего непонимания. С другой стороны, есть другой синдром: когда кончаются аргументы, оппонент всегда переходит на личности и начинает обзываться в духе "сам дурак", так что ваше высказывание показательно.


Это аргументы как раз против вашего подхода, когда используются нестандартные настройки и всякие оперы. Это в 3 ссылках из 5. Еще одна ведет на очередной бред параноика (ваш?), действительно относительно серьезна уязвимость с вебсокетами, но ее-то можно решить обычными неизощренными правилами iptables, для этого не нужно десять раз тор сам в себя заворачивать. Вот когда TB искаропки предоставит возможность 50%-100% деанона неким третьим лицам ввиду неважно чего (уязвимости, злонамеренного бэкдора и т.д.), тогда и порассуждаем о том, нужно было ли красноглазить до исступления или нет. Хотя я почему-то уверен, что случись такое, никакие ваши потуги себя обезопасить в духе "не пользоваться sudo и xhost!" вас не спасут.

Этим как раз вы занимаетесь. Практичные люди не надеются, что знают все на свете и лучше разработчиков, а решают потенциальные риски другими, более гибкими способами. У меня есть все основания полагать, что меня с моим подходом не найдут, а с вами случится нечто похожее[link64]. Тьфу-тьфу-тьфу, конечно.

Вот, кстати, подход uknown мне понятен: экспериментировать для зарядки мозгов вполне себе замечательно. Воспринимать же все это всерьез...ну вы поняли.
Гость (13/06/2012 18:48)   

Да.


Несколько разных ssh -w делают тунельные интерфейсы на обоих концах tun{0,1,2...}, далее файерволл. Все туннели поднимаются под сторонним доверенным юзером, куда заториваемые зайти не могут. Можно и изящней. Это ad hoc решение, которое делается быстро и легко, но имеет свои минусы.


Зачем "new identity"? Никогда не пользуюсь. В крайнем случае можно выйти из TBB и снова его запустить или рестартнуть Tor. Всё, что не хочется линковать вместе, делается из-под разных юзеров, у которых разные торы.


Скрипт — это громко сказано. Но вообще, да. Можно и просто логиниться на рутере, если там монитор есть.


Вроде выше объяснил.


Чтобы ткнуть местный народ в нужные цитаты и ссылки, приходится очень много держать в голове: где, что, когда, в каких обстоятельствах обсуждалось и по какому поводу.


Тут на личности уже раз 10 мои оппоненты переходили. И дураками называли. И чего только не делали. Свою неправоту никто сам не признаёт, даже если натыкаешь как котёнка в его же собственные цитаты. Я ответил по существу, аргументацию описал, ссылки привёл. Всё более, чем понятно. А ваши аргументы — пустое балабольство, скорее смахивающее на троллинг.


Слепота принуждает вас видеть не то, что есть, а то, что потворствует вашей позиции. Это были вполне стандартные настройки, torbutton'а тогда ещё не было, не говоря уже о TBB. Инструкция по торификации оперы висела на официальном tor-сайте. И всё это детально обсуждалось на форуме после тех фейлов. Разработчики инструкций, как оказалось, сами были не в курсе некоторых даже задокументированных опций. Можно подумать, firefox по сравнению с оперой — такая простая и безопасная программа, что тут прокола и близко быть не может. «Не знать историю равносильно тому, чтобы всю жизнь оставаться ребёнком» — тут прям наглядно демонстрируете на себе этот принцип. Умным достаточно одной ошибки, чтобы осознать проблему, а дураки будут наступать на грабли 50%-100% (вас цитирую) раз. Только вот если деанон критичен, вторую ппытку наступить на грабли вам не дадут, по крайней мере в ближайшие несколько лет.


Если у вас в запасе тысяча жизней и возможность сохраняться сколько угодно раз, то да. Можете в 100% деанона играть и ждать когда за вами приедут, а у меня жизнь одна и опции сохранения нет.


Не не спасут, а уже спасли.


Нет, то был мой пост. А бред — ваш.


Слово "всё" для красного словца добавили? Не подменяйте тезис. Разработчики свою позицию озвучили. Их целевая аудитория — широкие массы. Как ранее написал unknown, они не считают, что отсутствие внезапного деанона у 1% пользователей как-то сгладят общую картину фейла, буде он случится. Только вот то, что фейл будет у всех, а не у вас одного, вряд ли вам что-то скрасит: каждый за себя будет отвечать.

Напоминаю, что изначально согласие unknown'а с уместностью всего этого подхода было[link57]:
С катанием бочки на прозрачную торификацию (точнее, на firewall-контроль Tor'а) надо быть очень, очень аккуратным — это та последняя миля, которая реально страхует утечку реального IP от полного фейла.
Это так.
Гость (13/06/2012 19:04)   

Вы добавили в faq "простую воспроизводимую инструкцию" по прозрачной торификации. Кто ей воспользовался? За несколько лет, сколько она там лежит — 2-3 относительно опытных юниксоида, не боящиеся ни Linux'а, ни консоли. Да и те задали массу вопросов, пока у себя настроили. Я написал когда-то инструкцию по прозрачной торификаии через pf. Кто ей воспользовался? Ноль человек. Давайте начнём смотреть[link65] правде в глаза:
добросовестно почитал ссылки и ссылки в ссылках, вывод можно сделать следующий: человеку не имеющему навыков работы в unix и даже unix-новичкам не стоит и притрагиваться к самостоятельному решению данной задачи (в частном). да и к созданию своими руками Tor-рутера (в общем).
На самом деле человек всё правильно и очень точно сказал.
— unknown (13/06/2012 20:42, исправлен 13/06/2012 20:45)   

Кто-то из торпроджекта ездил с популяризаторскими лекциями даже не на Ближний Восток, а как-бы в образованную Европу. И ещё в США принимал звонки. Это осенью прошлого года было, специальная программа с целью пообщаться с народом. Вот тогда на них прозрение и снизошло, как и для кого надо разрабатывать ПО.


Пользователи не знают, что такое IP-адрес. Вообще не представляют.


Некоторые не знают, что такое браузер. Они думают, что интернет — это иконка эксплорера на рабочем столе. Оказывается, они запускают тор, там появляется файрфокс, со страничкой, где написан какой-то непонятный адрес и понимают сообщение, что вы типа в торе и теперь ваш интернет анонимен. Но что-такое файрфокс они никогда не слышали (ну может краем уха). Поэтому они решают, что дальше, чтобы пользоваться анонимным интернетом надо запустить свой единственный и понятный эксплорер, а эту торовскую штуку оставить открытой на всякий случай, пусть анонимизирует. Вот так. Теперь её хоть торбраузером назвали для понятности.


При этом разработчики не против и усиленных решений для немногочисленных продвинутых пользователей и просят ими делиться, особено после последнего случая с утечкой DNS. Продвинутые пользователи могут также послужить и тестерами альфа и бета версий и первыми выявлять баги, пользуясь своими навороченными настройками (в свободное от ожидания пативена время).

Гость (13/06/2012 21:41)   

Несколько оффтоп, но то, как они испохабили сайт torproject.org, очень показательно. Кнопку надо было сделать ещё раза в 3 больше, а всё остальное убрать совсем. Если на странице больше одной ссылки, пользователь может запутаться. Чтобы добраться до отдельного тора (сорсов) или чейнджлога теперь "опытным" приходится проводить чудеса выкрутасов, продираясь через кучи менюшек, каждая из которых ни о чём не говорит искать нужную страницу с помощью гугла.


Ситуация понятна. Остаётся только удивляться, почему Tor project озаботился анонимностью самых непосредственных и далёких от IT пользователей. Теории заговоров... за арабскую весну наверно им хорошо платят Если заниматься анонимностью как наукой или технологией, опускаться до такого уровня не нужно. Да и пользователей, владеющих хотя бы азами IT, по всему миру вполне достаточно, чтобы составить спрос на Tor. Короче, анонимность для широких масс — какой-то нонсенс. Звучит, как нейрохирургия для чайников.
Гость (13/06/2012 22:31)   
Тор висит на рутере, а коннектится всё к нему?
вешаем вирт рутеры, для каждого пользователя свой. не пойдет такое решение?
Гость (13/06/2012 22:32)   
зы на отдельной машине под кодовым названием "Тор рутер"
Гость (13/06/2012 22:54)   
Пользователи не знают
интересно, почему у нас считается, что для того чтобы пользоваться компьютером, нужно просто его купить.. какой процент пользователей купил и прочитал, хотя бы книжку для чайников? и то сплошь и рядом (( люди заканчиывают курсы, получают дипломы и не имеют не малейшего представление что такое персональный компьютер.
Гость (13/06/2012 23:11)   
Короче, анонимность для широких масс — какой-то нонсенс. Звучит, как нейрохирургия для чайников
широкие массы могут создать широкую полосу информационного шума... может в этом есть рациональное звено?
Гость (13/06/2012 23:14)   
поднял глаза, чтобы понять с чего здесь все это началось )) и прочитал:
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.

а как-же прожект Tails? они то про это не знают и продолжают делать именно связку iceweasel + tor
Гость (13/06/2012 23:15)   
почему у нас считается, что для того чтобы пользоваться компьютером, нужно просто его купить
Какой глупый и детский снобизм. Держу пари, что господин аноним не сможет самостоятельно сменить водопроводный кран, если тот потечёт. Или радиатор. А может замените газовый кран, а то как же вы им пользуетесь?
Проводку-то хотя бы сможете провести по квартире от щитка?
Найдёте причину, если машина сломается? А телевизор?
Что будете делать, если какай-нибудь железка в столько понятном вам компьютере внезапно откажет? Побежите в сервис?
То-то и оно.
Гость (14/06/2012 00:17)   
прошу прощение за оффтоп.

Какой глупый и детский снобизм
обычно таким оппонентам, я рекомендую внимательно и вдумчиво перечитать сообщение. вместо того чтобы заниматься критиканством, подумайте что хотел сказать автор. многое из перечисленного могу и что это значит? с электричеством работать нужен не только допуск но и здравый смысл, могут пострадать жильцы дома из-за какой-либо ошибки. а ошибка может быть незначительная в рамках решаемой задачи. но дом сгорит. газ я ВАМ даже не советую самостоятельно ремонтировать, ситуация та же что с электричеством. если машина сломается можно попытаться и исправить, смотря какая поломка. не все ж в сервисах делается. или вам нужен помощник поменять колесо? в мою бытность еще на дорогах и бортировали и клеели камеры (представляете безкамерки были не всегда).. а вам слабо? и т.д. по пунктам. вопрос образования, интеллекта и желания что то решать в этой жизни.. а не болтать попусту.
есть понятие – среднее образование так вот это подразумевает умение как минимум писать и читать. если человек не умеет этого делать, в обществе люди высказывают недоумение по этому поводу. чем компьютерная грамотность отличается?
Гость (14/06/2012 07:59)   
электричеством работать нужен не только допуск но и здравый смысл, могут пострадать жильцы дома из-за какой-либо ошибки. а ошибка может быть незначительная в рамках решаемой задачи.

Речь о проводке от щитка (там где иногда ставят эл.счетчик и всегда индивидуальные автоматы защиты), в самом худшем случае закончится индивидуальным поражением тока. При неправильном выборе и монтаже проводки, ещё и последующим пожаром. Но остальные жильцы дома от непосредствено пропажи электричества не пострадают.
газ я ВАМ даже не советую самостоятельно ремонтировать
Вот это даже не столько рекомендация, а предупреждение. Условия эксплуатации газового оборудования категорически исключают вмешательство пользователя. Даже самостоятельное подключение оборудования после индивидуального крана (не говоря уж про ремонт его самого) не разрешено.

Мешать в кучу все случаи не надо. И персональный компьютер он потому и персональный, что проблемы у всех персональные.
Вот только не надо про интернет, ботнеты, и милионы зараженых машин, которые дидосят и спамят всех остальных. Это скорей вариант с эл.проводкой, монтаж которой осуществил электрик с лицензией, но вот сам провод оказался с браком бай дезайн. Соседи по сети (жильцы дома) пострадают не от работы установщика, а от пожара (дидосы).
— К_О (14/06/2012 08:54)   
Для того, что-бы технология могла быть популярной (а для анонимности это необходимое условие), нужна встреча результатов усилий в двух направлениях: образовательном (формирование среднего уровня образованности) и технологическом (адаптация технологии до среднего уровня образованности). Небольшой группе энтузиастов, если она не имеет влияния на министерство образования или центральные СМИ, эффективнее прилагать усилия на втором направлении.
Гость (14/06/2012 09:10)   
Чтобы добраться [...] приходится проводить чудеса выкрутасов, продираясь через кучи менюшек, каждая из которых ни о чём не говорит
Несколько бит, требуемых для прохождения каждого уровня достатояно большого (автоматически генерируемого) меню – вот вам и стойкое шифроывние! А формально – открытые исходники. :)
Гость (14/06/2012 10:52)   
вешаем вирт рутеры, для каждого пользователя свой. не пойдет такое решение?
Хорошо, но менее безопасно[link66], чем на отдельной (физически) машине.

широкие массы могут создать широкую полосу информационного шума... может в этом есть рациональное звено?
Есть, есть, но это тривиальный момент, который, к тому же, уже много раз на форуме обсуждался[link67]. Сейчас речь идёи как раз об обратной стороне медали.

а как-же прожект Tails? они то про это не знают и продолжают делать именно связку iceweasel + tor
Tails — LiveCD, т.е. специализированное и не всем подходящее решение by design. Tails официально признаётся Tor Project'ом на уровне того, что упоминание о нём есть на сайте (как и некие рекомендации для его использования), но это всё же сторонний проект, в отличие от того же TBB.

почему у нас считается, что для того чтобы пользоваться компьютером, нужно просто его купить
Какой глупый и детский снобизм. Держу пари, что господин аноним не сможет самостоятельно сменить водопроводный кран, если тот потечёт. Или радиатор. А может замените газовый кран, а то как же вы им пользуетесь?
Что[link68], опять?[link69] © Обсуждали же уже почему компьютер — не стиральная машинка[link70], и не раз.
Гость (14/06/2012 11:05)   
Что, опять? © Обсуждали же уже почему компьютер — не стиральная машинка, и не раз.

Пояснение: вывод надо делать не «потому нужно полностью положиться на специалистов и умолчания», а «работа с компьютером неминуемо требует наличия квалификации пользователя, тем более для таких специализированных задач, как вопросы анонимности».

В самолёте тоже есть автопилот, но за штурвал не сажают домохозяек, а сажают специально обученных людей. Так же и с компьютером: любой может ткнуть по ссылке, скачать и запустить программу, но как я не сел бы в самолёт под управлением домохозяйки, несмотря на весь «пользовательский интерфейс», так бы я не стал полагаться и на анонимность «скачал, запустил, что такое IP — не знаю».
Гость (14/06/2012 11:09)   
P.S.: когда скачиваешь TBB и запускаешь, ты сам себе пилот. И если квалификации нет, риск фейла высок.
Гость (14/06/2012 16:10)   
работа с компьютером неминуемо требует наличия квалификации пользователя
Враньё, не требует. Есть такой термин как интуитивно-понятный пользовательский интерфейс.

тем более для таких специализированных задач, как вопросы анонимности
Мы про анонимность не говорили, изначально гость наехал вообще на всех «чайников». В случае специфичных запросов, кто ж спорит, надо самому изучать и разбираться. Или платить специалисту.


У меня, к примеру, стаж работы в *nix более 5 лет, но я никогда не позволю себе проявлять снобизм в вопросах компьютерной грамотности, просто потому что сам не разбираюсь в других областях, которыми, однако, пользуюсь. Вы и гость выше можете долго разводить демагогию/утешать себя, что всё знаете и умете, но в случае проблемы с чем-нибудь некомпьютерным, побежите в сервис, где мастер над вами вдоволь посмеётся (если захочет, конечно) с вашими нубскими вопросами. Во всём разбираться невозможно, и ваше среднее образование нисколько не поможет изучить специфичный вопрос за полдня.
Господин spinore, какой смысл давать на каждый чих сотни ссылок? Неужели для вас неочевиден тот факт, что общение в рамках одной, пусть и большой темы, так или иначе будет ходить по кругу? Кстати, они ведут на одну и ту же тему и даже почти на одну и ту же страницу.
А вообще, проявлять такой снобизм в основном склонны юноши с максимализмом, которые сами не очень-то во всём разбираются, но выглядеть «круче» сверстников хочется.
Гость (14/06/2012 16:28)   
Ещё забыл один момент. Всё знать даже в рамках своей узкой области почти невозможно. Поэтому человечество придумало абстракции. Прикладной программист для веба не обязан знать ассемблер, а системный программист скорее всего не знает опкоды процессора, под который он пишет код на C.
Вот вы знаете, что такое IP, хорошо. А читали ли RFC по нему, по TCP, изучали реализацию TCP/IP-стека хотя бы в вашей операционной системе? Это ведь тоже относится к анонимности — вдруг там дырка какая, вдруг где абстракция протекает? Неужели надеетесь на других?
Хотя вы же сами признавались, что даже исходный код не читаете, доверяете другим.
Гость (15/06/2012 01:01)   









*С топиком Eridan'а такое уже было: тыкают в него и говорят «вот, на pgpru.com это советуют». Мало кто будет читать комментарии к топику, разбираться с тем, что это открытая площадка, любой может развивать документы, и слепо всему верить не стоит.


Развод на троллинг и оффтоп можно считать официально удачно свершившимся, увы.
Гость (15/06/2012 01:37)   
Гость (15/06/2012 01:57)   
Гость (15/06/2012 02:37)   

[троллинг]
/comment53356[link86]:
Гость (15/06/2012 10:18)   

Какой-то очень тупой троллинг, ибо автор камента говорил о страховке другими способами – дополнительным железом и прочим. Подводя это под вышеприведенную аналогию, пилот должен был принять во внимание показания автопилота, авиадиспетчера, штурмана, своих глаз и мозга, иметь многомиллионную страховку, психотерапевта и авдоката, три запасных парашюта и надеть шапочку из фольги, штоб ZOG инопланетяне моск не зохавали.
Гость (15/06/2012 11:27)   

Вспоминайте[link88] :)
Это я к тому, что нынешнее человечество живёт не только в деревне, но если так и дальше пойдёт, то в результате катастроф, вызванных массовой некомпетентностью, принявшей системный характер, рискует там оказаться в будущем...
— unknown (15/06/2012 11:47)   
Самоненазванный Spinore, ваши аргументы понятны, но скатились до уровня житейского философствования.

Непотребительский подход к жизни, возможность что-то делать и думать самостоятельно, интеллектуальное саморазвитие — это теперь такая форма социального дауншифтерства, роскошь позволить себе не быть богатым или занятым зарабатыванием и удержанием избыточных денег и прочих материальных/социальных благ.

Такие люди в небольшом количестве есть, всегда были и будут при любом обществе/строе, так что вы не уникальны и свою жизненную позицию можете подробно не разъяснять. Те, кому это не близко, не поймут вашу позицию как сознательный выбор и будут сравнивать с подростком-максималистом, у которого нет возможностей заняться зарабатыванием бабла и прочего блаблабла социальной реализацией в материально-денежном исчислении.

Покупка струн порадовала — знакомо. Стремление сделать что-то самому тоже. Даже, если есть деньги на получение в готовом виде и экономия не критична. Возможность потратить своё время на то, чтобы сделать самому — это прекрасно, когда есть масса свободного времени.

Надо писать отдельные wiki-доки с привязкой к своему авторству (репутации псевдонима) как тот же Eridan. Более или менее законченные по форме доки можно критиковать предметно, а высказывания в форуме вообще ни к чему не обязывают, особенно сделанные от анонима по принципу "важна мысль, а не авторство". Плюсы-то в таком подходе есть, как инструменте для свободной дискуссии, но тут же и минусы вылезают. С другой стороны — времени чаще всего на создание развёрнутых доков нет. А если тема, поднятая кем-то в доке не интересна, то нет и комментариев к ней.

Должен же кто-то упорядочивать информацию. Например, помнить и уметь искать даже мои старые комменты лучше меня самого.

Гость (14/06/2012 09:10)[link89]
Несколько бит, требуемых для прохождения каждого уровня достатояно большого (автоматически генерируемого) меню – вот вам и стойкое шифроывние!

Если на каждом уровне можно определить продвинулись мы к цели или нет — то нестойкое. Это как перебор ключа шифра не грубой силой целиком, а по частям, с возможностью проверить верность части битов, а не всего ключа.

Мне как-то казалось, что когда говорят о правилах firewall`а, это автоматически подразумевает защиту от потенциальной компрометации используемого софта, но вот, вижу, не всем это очевидно.


Почему-то фильтрация по UID/GID считается в плане безопасности ненадёжной. Более того, когда кто-то разработал аналог для фильтрации по контекстам и ролям SELinux, ему заявили тоже самое и для ролей (но не меток) SELinux и он согласился!

Сказал, что проект будет продолжаться только для удобства использования, но на него не стоит полагаться для безопасности. Для безопасности нужно использовать метки SECMARK, задаваемые модулями SELinux, и вот только эти метки якобы безопасные для обработки файрволлом. Но роли и контексты SELinux, которые закручены пожёстче, чем просто Unix-права, как-то можно обойти при передаче пакетов, хотя это намного сложнее, чем UID/GID.

Уровень аргументации я не понял, частично полагаюсь на авторитет относительно известных мне разработчиков. Обсуждения взяты из рассылок и блогов, эту тему мне сейчас не найти. К сожалению, я не так строг со ссылками, как spinore и если свое мнение составлено так, что к чему-то утрачен интерес, то и исходные материалы забываются.

А зачем ещё правила firewall`а навешивать? Прозрачная торификация как просто техническое удобство в том плане, что не надо прокси каждой программе указывать?

Ну, во-первых удобство, да (для spinore это на последнем месте, понятно :-) ). Во-вторых, понятие анонимности шире, чем абсолютный максимум. Иногда нужно пустить через тор что-то, что хотя бы не видел бы свой провайдер (для него пользователь будет большинство времени сидеть в торе, непонятно в какое время чем занимаясь — затруднение анализа трафика), и неважно, что это увидит исходящий узел. Например, ssh, получение почты через pop3s, не-веб-сервисы со скрытых ресурсов и пр., что так просто через прокси с тором не согласовать, а различимость профиля на том конце не слишком критична.

Наконец, завинчивание гаек до абсолютного максимума тоже может быть доведением до абсурда. В отличие от криптографии (а там тоже есть, куда копнуть глубже, но не будем в этой теме), анонимность носит далеко не абсолютный характер. Он такой же вероятностный, но вероятность остаться анонимным принципиально намного меньше и труднее поддаётся оценке (это не плоское равномерное распределение). В сети Tor пока не более 2500-3000 узлов из них 1200 исходящих. Даже запустив небольшую группу злонамеренных узлов можно насобирать достаточно корреляций[link90] для сбора сведений. И это просто пассивный анализ, это не активные атаки.

Если Tor (как почти любой другой протокол обеспечения анонимности в сетях связи с прямой коммутацией, без броадкастов) не обеспечивает абсолютной анонимности в принципе ("do not rely on it for stronge anonimity"), причём, чем чаще пользователь использует один и тот же ресурс, тем выше вероятность его раскрытия, то логично использовать его для критичных вещей чрезвычайно редко. Зато для повседневных и не особо важных — как можно чаще, чтобы важное затерялось на этом фоне и анализ трафика был бы затруднён. Для этой же цели у разработчиков служат принципы массовости, лёгкости использования и различия интересов (diversity). Чтобы не было так, что каждый второй там прячет что-то важное, а наоборот — большинство было бы не представляющими особого интереса чуть продвинутыми пользователями и тратить ресурсы на просеивание информации по всему тору было бы невыгодно по сравнению с открытым интернетом. Такой вот компромисс между принципом Керхгоффса и принципом медведя[link91].
Гость (15/06/2012 14:16)   

Я всё же ещё раз приведу ссылку на этот[link66] черновик. Там рассмотрены 4 уровня защиты. То, что (как мне казалось) пытаются выработать в этом топике, соответствует инструкциям для достижения 2го уровня из 4ёх. SeLinux там не обсуждается, но если уж и добавлять, то вряд ли его стоит рассматривать более серьёзным, чем 4ый уровень (скорее, в интеграле он, может быть, чуть лучше, чем 3ий). Если совсем коротко, то возможность подмены UID/GID близко к local root, который на 2ом уровень заведомо исключается, как возможность. То, что защита на 2ом ≠ защите на 4ом — должно быть тривиально понятно, но к чему этот аргумент? Это подобно тому, как пользователь может сказать, что он заведомо исключает возможность ТРК. А может наоборот искать способы защиты[link92] от него. Но если защиты нет, то не значит, что криптография бессмыслена (так же и с анонимностью). Главное, что когда явно оговорены границы, не стоит за них выходить.


Полностью согласен, и сам этим пользуюсь. Просто у меня пока нет времени на настройку по уму, мне хватает и куда более простого варианта — под номером 1[link93]. Там никаких firewall'ов нет.


Согласен.

— unknown (15/06/2012 14:47, исправлен 15/06/2012 14:48)   

Бывают управленцы, бизнесмены, организаторы. И более негативные проявления такого рода таланта (аферисты и др.). У них "талант" заработать денег на готовое и купить; достать что-то редкое; организовать, чтобы что-то было сделано. Пока, условно говоря, вы собственноручно прикручиваете кран, они заработают денег на дворец и яхту с тысячей золотых кранов и обслугой, фигурально выражаясь. Для них делать самому — неспортивно, это потеря своего времени, которое они тратят на зарабатывание денег. И это не единственный пример. Могут быть разные стратегии поведения, выбора целей, определения потребностей, нельзя сказать, что среди них есть единственно правильная, которая у утверждающего обычно является его собственной. Иначе получается Cognitive bias[link97], чем возможно многие здесь (как впрочем и повсюду) грешат при изложении своих аргументов, что и приводит к взаимному непониманию. И является благодатной почвой для троллинга.

Гость (15/06/2012 15:54)   

А torsocks для ssh и вообще не катит?
Гость (15/06/2012 16:21)   

Ну почему, просто мне не довелось им пользоваться (потому вводите поправку на вероятную ахинею ниже). Как я понял, torsocks — аналог proxychains, но, возможно, чем-то более узкий, но чем-то, может быть, и более универсальный по сравнению с proxychains. Просто proxychains — это простая обёртка, которая подменяет собой[link98] библиотечные вызовы, так что наглое приложение может смело на это класть болт и лезть в сеть напрямую. Есть другой способ торификации/соксификации — использовать не переопределение команды всюду (типа proxychains ssh вместо просто ssh), а штатно указать настройки прокси в конфиге. В каких-то случаях последний способ может оказаться более удобным и универсальным. Т.е. torsocks и proxychains — это принудительная торификация, а corkscrew (через промежуточную http-прокси) — штатная.

Гость (15/06/2012 16:38)   
а с AdvOR присутствующие знакомы?
Гость (15/06/2012 16:43)   
Покупка струн порадовала — знакомо
Пример некорректный.

Хорошо, я верю, что господин spinore умеет гуглить и пользоваться википедией. Нагуглил какие бывают материалы струн, их состав, отлично. Я вроде и не спорил с тем, что у нас сейчас википедия хорошо развита (кстати, это приносит одновременно и некоторые неудобства: полно неучей, которые пролистав статью, тут же пытаются спорить на тему, нисколько не разбираясь в матчасти). Ну а если понадобится что-нибудь сложнее энциклопедической выписки? Скажем, вот ваш же пример с гомологической алгеброй. Нужно не скопипастить формулы из вики, а понять. Тут уж без фундаментального образования никак. Или вам нужно не подобрать струны, а научиться играть на скрипке хотя бы простенькие этюды. Или разобраться в реализации злосчастного стэка, не имея при этом как навыков программирования вообще, так и не зная системных ЯП, протоколов, ядра на нижнем уровне и прочее, прочее. Или починить не утюг, а телевизор. Или банально научиться работать в *nix. Можно долго приводить примеры, надеюсь мысль понятна. На изучении основ нужной темы уйдут годы и никак не ускорить, хоть обложись виками, гуглями и книгами.

Весь словесный поток комментировать не буду, уж извините, не соперник вам в графомании. Примеры про деревню, вам не понять — детский сад. Предлагаю господину spinore самому нагуглить соответствующие статьи в лукоморье, на которое он так любит ссылаться.
Особенно повеселило как spinore даёт ссылку на статью Спольски и разъясняет её мораль после того, как я сам же упомянул про протекающие абстракции. Про ссылки из этой же степи. Упорядовачивание — хорошо. Но делать это каждый раз с таким видом, будто тема полностью исчерпана, — снобизм завсегдатая, ей-богу. Будто кроме spinore никто поиском пользоваться не умеет.
— unknown (15/06/2012 16:54, исправлен 15/06/2012 16:55)   

Пример с медициной: самолечение плохо, но во многих случаях возможно, хотя бы согласовать с врачом свои изыскания не мешает. А вот самому себе ставить диагноз в большинстве случаев бесполезно. Даже не очень квалифицированный врач поставит диагноз точнее, чем непрофессионал, "подбирающий струны".

Гость (15/06/2012 17:06)   
Гость (15/06/2012 17:29)   
unknown, пример с медициной — замечательный. Простой и понятный. Даже если вы умеете лечить самостоятельно простуду, в случае пулевого ранения без доктора не обойдётесь.
Мир, к сожалению, настолько сложный, что даже в пределах одной науки невозможно знать всё. Особенно плачевные результаты, насколько я знаю, в математике и физике сейчас наблюдаются. А тут пытаются одним гуглем все вопросы решить. Эрудированность положительное качество, но что в целом полезнее для прогресса — разбираться во всём по чуть-чуть или сделать открытие в своей очень узкой области?
Гость (15/06/2012 17:33)   
AdvOR программа может заворачивать в Тор как запущенные процессы, так и программы через песочницу.
Гость (15/06/2012 17:40)   
ps тут упомянули о proxychains
Гость (15/06/2012 18:03)   

Может быть, позже к ней и появится доверие... но пока тихо.

— unknown (15/06/2012 21:20)   
Ну хорошо. Если кто-то придёт в эту тему за поиском полезной информации, то обращайтесь к spinore. Он у нас может отыскать любую информацию на фоне информационного шума не хуже гугла с искусственным интеллектом. И создаёт этот шум не хуже случайного оракула.
Гость (16/06/2012 08:50)   

Простота вещей понятие относительное – простые для кого? Если вам просто, почему вы думаете, что и всем остальным тоже?


И вот поэтому важно, КТО говорит. ;)
Гость (16/06/2012 09:37)   
"Усложнять просто, упрощать сложно."
— unknown (16/06/2012 20:51)   
В текущую версию тора внесли интересные опции, которы были впервые внесены в альфа-версию ещё осенью 2011.

Теперь SOCKSPort, DNSPort и TransPort можно задавать в конфиге множество раз. Всех прозрачно торифицированных пользователей можно разнести файрволлом по разным портам. Пользователь на каждом порту получит свои цепочки.

Более того, поскольку это развитие прозрачной торификации предназначено изначально не для торбраузера, а для экспериментов с другими программами, то на каждую опцию определены ещё и политики. Две из них по умолчанию включены, их можно (но нежелательно) отключить, а можно включить дополнительные.

Даже из-под одного пользователя возможно будут запускаться одновременно несколько програм, поэтому нежелательно их связывание в одну цепочку. Для этого и предназначены политики. Дополнительно можно развязать цепочки при обращении по одному адресу, порту, протоколу.

Так что, хотя бы в порядке эксперимента с непараноидальными настройками, можно попробовать сначала связать несколько разных пользователей на общий системный тор-демон по разным портам и политикам. А затем можно попробовать повесить на него и разные торбраузеры.

Если локальные эксплойты не самая пугающая для вас угроза, то можно порадоваться тому, что правильное смешивание всех потоков одним демоном может потенциально давать больше статистической неразличимости между несколькими одновременно работающими пользователями.

Но проблема опять в том, что системный тор и тор в TBB различаются и опираются на разные версии OpenSSL.
Гость (17/06/2012 00:49)   

Ну вот как, как такое может быть?! Неужели трудно вовремя обновлять системный Tor? Или правки, вносимые в TBB-Tor считаются некритичными для системного?
Гость (17/06/2012 11:03)   
Теперь SOCKSPort, DNSPort и TransPort можно задавать в конфиге множество раз.
это вы о каком Торе говорите?
Гость (17/06/2012 11:28)   
0.2.3.x ветку.
Гость (17/06/2012 12:46)   
посмотрел конфиг последней альфы для винды, но что не увидел упоминание о DNSPort и TransPort. на офсайте есть как настраивать?
Гость (17/06/2012 12:53)   
попробовал ввести второй порт – не сохраняется. только меняется номер порта.
— unknown (17/06/2012 16:38, исправлен 17/06/2012 17:04)   

Так и есть. Когда что-то критичное они одновременно обновляются. Но в браузерном обновления чаще и он менее стабильный. В браузерном также своя версия OpenSSL вместо системной. Возможно это позволяет различать на входящих узлах (менее вероятно, что на исходящих) трафик пользователя, порождённый TBB и системным тором.


v. 0.2.3.17-beta почему-то вышла под Linux вместо стабильного релиза с предупреждением о возможной куче ошибок.


Manual соответствует пока этому[link101], см. про соотв. опции.


Если не работает, то нужно перед перезапуском остановить тор из TBB: он настроен автоматически садиться на свободный порт и может помешать системному тору, который должен запускаться раньше.


Дело похоже в том, что /etc/init.d/tor stop не работает и нужно убить процесс явно: возможно действительно какие-то баги, надо разбираться.


Можно расклонировать в конфиге на нужное число портов SOCKSPort, TransPort, DNSPort.


Опцию SockListen Address нужно убрать как устаревшую.


Если не работает /etc/init.d/tor restart из комм. строки или ещё какие глюки, то в конфиге явно прописать:


— unknown (18/06/2012 12:24, исправлен 18/06/2012 12:57)   

Кое-что полезное есть здесь[link102]. См. Tor Browser behind a transparent proxy or TorBOX в разделе manually. Это позволяет избавиться от видалии и локального тора и использовать Tor Browser с прозрачной торификацией, идущей хоть на системный тор, хоть на внешний роутер.


Если теперь повесить разных пользователей на разные слушающие порты системного тора, то можно и браузеры запускать одновременно.


Теперь осталось выяснить как использовать use new identity через Tor Button и открытый управляющий порт и повлияет ли она только на текущий порт или на все подключения по разным портам (что хуже).


Кое какие идеи, но с необходимостью использовать видалию могут быть здесь[link103] и здесь[link104].

Гость (18/06/2012 17:01)   

Там описано то, как уже обсуждалось в /comment52079[link105], за исключением того, что теперь можно запустить TorBrowser без двойного заворачивания на самом старте (вопрос скорее технического удобства). Потом опцию «Transparent Torification (Requires custom transproxy or Tor router)» сломали[link51]. Дураку ясно, что работать она должна. Вот и вики пишет, что должна. Можно надеяться, что или её починили, или разработчики хотя бы согласны с тем, что она должна бы работать, как предполагалось.

Меня удивляет, что в настройках TBB до сих пор имеются все те десятки опций, регламентирующие использование TorBrowser'а без Tor. Изначально был TorButton, который позволял, как примочка, сделать «более безопасный» из стандартного firefox. Предполагалось, что пользователи будут по желанию переключаться между анонимным и неанонимным режимами. С тех пор утекло много воды, но до сих пор все эти опции по переходу в режим «Non-Tor» остались в настройках. Зачем они там? Неужто кто-то будет целево использовать специально предназначенный для Tor'а браузер в неанонимном режиме?


Несмотря на warning, там написанный, всё ещё осталась инфа про оперу:

Opera
Open Tools → Preferences → Advanced → Network → Proxy Servers. Check HTTP and enter «127.0.0.1» and «8118» as port or open about:config and enter «127.0.0.1:8118 » in Proxy → HTTP Server.

Неужели они не знают, что такие настройки штатно обходятся, причём это — RFC[link106]? И как после этого можно доверять остальному из trac.torproject.org?
Гость (18/06/2012 17:21)   
offtop: Удивительно, как принципиальный spinore использует проприетарную оперу. При том, что у неё всего пара процентов пользователей по миру и нет поддержки torproject.
Гость (18/06/2012 17:39)   
Ontop: Opera для Tor использовалась последний раз года 3 назад. Переходу на firefox в том числе способствовало появление TorButton'а. Всё это никак не отменяет вышесказанного про оперу.
Offop: Несмотря на то, что давно пользуюсь firefox, пункт 2[link107] бесит до сих пор, не могу к такому поведению привыкнуть. В плане чисто юзабилити искаропки опера (по крайней мере была) шустрее и логичней firefox'а. Со временем весь софт скатывается в комбайнеры, полные говнофич, интерактивности и свистелок, пользоваться которыми нереально.
— unknown (18/06/2012 17:48)   
можно запустить TorBrowser без двойного заворачивания на самом старте (вопрос скорее технического удобства).

Хотелось бы и без встроенного тора тогда уж, разм ожно на системном торе открыть много разных портов для разных пользователей. Хотелось бы это отладить для локальной прозрачной торификации, перенсти системный тор на отдельный роутер, а клиентов в виртуалки принципиально будет несложно.
Гость (18/06/2012 17:51)   
Неужели они не знают, что такие настройки штатно обходятся, причём это — RFC? И как после этого можно доверять остальному из trac.torproject.org?

Так исправьте, там формат wiki.

Ошибку ту, в опере (10) давно переработали. И даже добавили, наконец (в 11 версии), сокс прокси. Если реализовали без ошибок с поддержкой днс, то можно даже пользоваться.
Гость (18/06/2012 18:53)   

Так было бы лучше, да. Просто для меня лишние потроха (не только TorBrowser, но и свой Tor и Vidalia) на стороне торифицируемого пользователя — чисто техническое и непринципиальное неудобство, т.к., так или иначе, защита полагается (должна полагаться) не на то, что находится у юзера в его $HOME. А вот то, что TorBrowser и Vidalia (а, следовательно, и иксы) нужны для системного юзера, от которого будет запущен Tor — это куда больший риск (именно на его безопасность завязана анонимность).

Рекомендации сворачивать TorBrowser в трей от TorProject wiki повеселили. Интересно, что бы они сказали про Tor-сервера: их тоже рекомендовано запускать на рутерах с иксами и гномами, рулить мышкой в менюшках?

Гость (18/06/2012 18:57)   
Если реализовали без ошибок с поддержкой днс, то можно даже пользоваться
в Опере на уровне сокса не все так приятно. см логи Видалии.
Гость (18/06/2012 19:01)   
нужны для системного юзера, от которого будет запущен Tor
прости не понял, а как еще можно запустить? есть несистемные юзеры?
Гость (18/06/2012 19:17)   
unknown

можно у вас спросить, а чем конструктивно отличается обычный FF от FF в Tor Browser? разве нельзя настроить обычный FF так же как в Tor Browser?
— SATtva (18/06/2012 19:20)   
TorProject его патчит на предмет антипрофилирующих функций и прочего, что апстрим не спешит принимать к себе. Собственно, форкали FF не от хорошей жизни.
Гость (18/06/2012 19:36)   

Год спустя ещё один пользователь вышел из анабиоза. За последний год вообще много всего произошло, но если не читать сайт и не следить за проектом, можно очень легко отстать от паравоза: «В Tor Browser помещена экспериментальная защита от серьёзной статистической атаки»[link16].


Вы не поверите... раз[link108],два[link109], три[link110]. Предлагаю найти выражение «системный пользователь» в этих текстах самостоятельно.
Выше было написано, что этот тред — для тех, кто Unix изучил хотя бы на каком-то уровне и проблем с командной строкой не испытывает...
— unknown (19/06/2012 10:07, исправлен 19/06/2012 12:15)   
А вот то, что TorBrowser и Vidalia (а, следовательно, и иксы) нужны для системного юзера, от которого будет запущен Tor — это куда больший риск

Не нужны. Или это продолжение описания текущей дефолтной ситуации с TBB? Часть приведённых мною ссылок исследуют вопрос прозрачной торификации для проекта TorBox — тор-роутер для чайников со своими заморочками, которые не следует переносить буквально. Часть материала в вики/FAQ/доках топроджекта устарела и неполна (также как и у нас на сайте).


Интересно, что бы они сказали про Tor-сервера: их тоже рекомендовано запускать на рутерах с иксами и гномами, рулить мышкой в менюшках?

Неопытные пользователи могут это сделать через видалию, но это больше актуально для массового распространения бриджей. Впрочем, большинство бриджей сейчас рекомендуется разворачивать из готовых образов в амазоновских облаках.


Большинство серверов скорее всего крутятся нормальным образом на unix-системах безо всяких иксов. Разработка системного тора для этой цели идёт неким отдельным направлением без таких компромиссов как в TBB.


Конкретно этим[link111].


P.S. Когда-то экспериментировал с этим[link6]. Не помогло. Может кто-нибудь поймёт лучше?

Гость (19/06/2012 15:09)   

Это то, что написано по вашей[link102] ссылке, как один из вариантов (не самый лучший, естественно):

If you don't wish Tor/Vidalia to be closed, when you close the Tor Browser, you can use a workaround such as an external minimize to tray application. Doing so, Tor Browser will not be closed, but out of your way. And you can continue to use Tor/Vidalia.

То, что выделено голубым — предельно изящно, любой понимающий впечатлится. Ладно бы ещё юзеры на форумах такое заметание мусора под ковёр предлагали, но проекту Tor должно бы быть стыдно от подобных инструкций. Они, как разработчики, могли бы предложить и лучшее решение, причём не параллельно к вышеописанному (как сейчас), а вместо него.
— unknown (19/06/2012 16:06, исправлен 19/06/2012 16:10)   

Практически это они и есть.
Это вики, которая не отражает официальную позицию проекта Tor. Там даже вредные советы публикуются.


Похоже, то что обсуждается здесь сейчас, обсуждалось нами в рассылке тогда[link112] и с безуспешным результатом. Где-то в тикетах остался ещё один совет по объединению TBB с системным тором и обещание Майка по написанию инструкции. Перерыл сайт гуглом — на нашёл.

Гость (19/06/2012 16:09)   

от пользователя g_oster
Гость (21/06/2012 17:49)   
— Гость (17/06/2012 12:53) <#>
попробовал ввести второй порт – не сохраняется. только меняется номер порта.


А Вы старую опцию SOCKSListenAddress в /etc/torrc закомментировали?



unknown, а как грамотно расфаерволить разные sock-порты по разным юзерам? Уже есть какие-то рабочие правила? Может, FAQ дополните?
Гость (21/06/2012 21:06)   
как грамотно расфаерволить разные sock-порты по разным юзерам?

Если запрещено всё (icmp, ipv6, а также весь посторонний траф), кроме того, что явно нужно разрешить, достаточно добавить правила наподобие следующих:
iptables -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -o lo -p tcp -m owner --uid-owner USERNAME1 -m tcp --dport PORT1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -o lo -p tcp -m owner --uid-owner USERNAME2 -m tcp --dport PORT2 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -o lo -p tcp -m owner --uid-owner USERNAME3 -m tcp --dport PORT3 -j ACCEPT
PORT1, PORT2, PORT3 — socks-порты для юзеров USERNAME1, USERNAME2, USERNAME3, соответственно.
— unknown (21/06/2012 21:19, исправлен 22/06/2012 12:09)   

FAQ планируется не дополнить, а удалить из него эту информацию, если руки дойдут. Перенести в серию документов. Это не вопрос для FAQ, так как предполагает разные варианты реализации (без претензий на абсолютную правильность каждого) и содержит слишком много текста.


Вот, что уже проверено сейчас, в варианте черновика.


В /etc/torrc:




Гость (21/06/2012 21:22)   
То же, но в /comment53711[link113], но для pf:
pass out on lo0 inet proto tcp from 127.0.0.1 to 127.0.0.1 port PORT1 user USERNAME1
pass  in on lo0 inet proto tcp from 127.0.0.1 to 127.0.0.1 port PORT1 user TOR_USERNAME
pass out on lo0 inet proto tcp from 127.0.0.1 to 127.0.0.1 port PORT2 user USERNAME2
pass  in on lo0 inet proto tcp from 127.0.0.1 to 127.0.0.1 port PORT2 user TOR_USERNAME
pass out on lo0 inet proto tcp from 127.0.0.1 to 127.0.0.1 port PORT3 user USERNAME2
pass  in on lo0 inet proto tcp from 127.0.0.1 to 127.0.0.1 port PORT3 user TOR_USERNAME
TOR_USERNAME — служебный (системный) пользователь, от имени которого запущен Tor, или root (разные версии pf могут приводить, возможно, к разным ответам).
Гость (21/06/2012 21:34)   
Сорри, надо заменить USERNAME2 на USERNAME3 во 2ой строчке снизу.
Гость (22/06/2012 14:03)   
А если я все-таки запускаю TBB под "прозрачно заторенными юзерами", причем каждый раз руками меняю настройки TBB (может это неск. хуже, как отмечали где-то, с точки зрения профилирования,но это лучше, чем поставить себя под удар, раскрыв "органам" свой физический адрес – профилирование угрожает вероятностным выводом, что те и те действия совершил предположительно один человек, а раскрытие физ. адреса всегда угрожает немедленным арестом или умерщвлением), то можно как-то эти настройки "гвоздями" прибить к TBB?
А то каждый раз указывать для каждого TBB свой SocksPort – можно легко запутаться.
— unknown (22/06/2012 14:54, исправлен 23/06/2012 15:11)   

Так и профилирование в некоторых сценариях угрожает тем же самым и вероятностные оценки будут несильно меньше единицы:


Tor proposals implemented in Tor 0.2.3.x[link114]


171 Separate streams across circuits by connection metadata

For example, if you make a connection to an
SSH host and log into a website over the same circuit, the exit
node can learn that the same person has accounts both at the
SSH host and the website. If the SSH host and website are
colluding, then over time, they can become certain which
account on the SSH host corresponds with which activities on
the website.

Есть неопробованная идея соединить оба подхода, развязав TBB-связку. Так чтобы работала и прозрачная торификация для всего не-TBB и заворачивание в системный тор всех TBB (без запуска локальных торов), каждого на свой порт и чтобы не было никаких утечек (весь TBB-трафик или заворачивается на локалхост, откуда может выйти только посредством системного тора или никак). И руками ничего править не нужно будет каждый раз если это получится.


В любом случае, должно всё правильно работать на уровне исходного софта. Нужно или грамотно доставать раработчиков, или не надо пытаться путём накручивания своих костылей пользоваться теми его функциями, на которые он не расчитан.

— unknown (24/06/2012 17:41, исправлен 24/06/2012 17:50)   

Черновой рабочий вариант работы TBB с системным тором изложен здесь.

Гость (24/06/2012 18:34)   
В комментариях к коду в /comment53712[link115] unknown так сильно извинялся и произносил всевозможные предостережения, что мне даже неудобно стало. Вот напугал человека... Хотя оно и к лучшему: пусть сразу не будет иллюзий по поводу того, что firewall обязательно спасёт.
— unknown (24/06/2012 19:25)   
Мне такое решение самому не нравилось :) Но критика пошла на пользу, в текущем варианте системная группа TBB, которая выводила трафик наружу весь TBB-трафик практически без фильтрации, убрана.

Теперь, когда связь с системным тором кое-как работает, при случайном баге пользователь никуда не сможет пустить свои пакеты помимо локалхоста с предопределённым набором портов. Но, некий преднамеренный код сможет обойти файрволл, возможно даже не повышая своих привилегий.

Текущий вариант, даже если получится разнести TBB по портам также будет сохранять массу недостатков и скорее предназначен для изучения новых опций Tor с возможностью что-то попросить у разработчиков.

Ссылки
[link1] https://trac.torproject.org/projects/tor/ticket/3994

[link2] https://lists.torproject.org/pipermail/tor-talk/2011-October/021706.html

[link3] https://trac.torproject.org/projects/tor/ticket/4192

[link4] https://lists.torproject.org/pipermail/tor-talk/2011-October/021739.html

[link5] https://lists.torproject.org/pipermail/tor-talk/2011-October/021742.html

[link6] https://trac.torproject.org/projects/tor/ticket/2308

[link7] https://trac.torproject.org/projects/tor/wiki/doc/TorFAQ#WhatdoIneedtodotogetanewfeatureintoTor

[link8] https://blog.torproject.org/blog/trip-report-arab-bloggers-meeting-oct-3-7

[link9] https://trac.torproject.org/projects/tor/wiki/org/roadmaps/Tor

[link10] https://trac.torproject.org/projects/tor/wiki/org/sponsors

[link11] https://blog.torproject.org/blog/plain-vidalia-bundles-be-discontinued-dont-panic

[link12] https://blog.torproject.org/blog/trip-report-arab-bloggers-meeting-oct-3-7#comments

[link13] http://wiki.polymorf.fr/index.php?title=Howto:User_Level_Firewalling

[link14] http://www.pgpru.com/comment48573

[link15] http://www.pgpru.com/comment48584

[link16] http://www.pgpru.com/novosti/2011/vtorbrowserpomeschenaeksperimentaljnajazaschitaotserjjoznojjstatisticheskojjataki

[link17] https://www.torproject.org/projects/torbrowser/design/

[link18] https://trac.torproject.org/projects/tor/ticket/628

[link19] https://blog.torproject.org/blog/plain-vidalia-bundles-be-discontinued-dont-panic#comment-12619

[link20] http://www.pgpru.com/comment43167

[link21] https://www.torproject.org/docs/faq.html.en#TBBSocksPort

[link22] http://www.pgpru.com/comment48168

[link23] http://www.pgpru.com/comment48261

[link24] http://www.pgpru.com/comment48815

[link25] http://www.pgpru.com/comment48837

[link26] https://www.pgpru.com/forum/unixlike/nastrojjkatorruterapodbsdtransparenttorproxykakanonymizingmiddlebox

[link27] http://www.pgpru.com/comment51911

[link28] http://www.obsd.ru/8/?q=node/1632#comment-2019

[link29] https://www.pgpru.com/comment48825

[link30] https://www.torproject.org/about/jobs.html.en

[link31] https://www.torproject.org/about/corepeople.html.en

[link32] http://www.pgpru.com/comment52683

[link33] http://www.pgpru.com/forum/prakticheskajabezopasnostj/truecryptinternet

[link34] http://www.pgpru.com/comment48825

[link35] http://www.pgpru.com/comment36423

[link36] https://ru.wikipedia.org/wiki/Решение_задач

[link37] https://ru.wikipedia.org/wiki/Метод_проб_и_ошибок

[link38] https://trac.torproject.org/projects/tor/ticket/5741#comment:22

[link39] http://www.pgpru.com/novosti/2012/kriticheskajaujazvimostjvtorbrauzereraskryvaetzaprosypoljzovatelejj

[link40] https://trac.torproject.org/projects/tor/ticket/5791

[link41] http://www.pgpru.com/comment52149

[link42] http://comments.gmane.org/gmane.network.tor.general/2853

[link43] http://www.pgpru.com/comment48273

[link44] http://www.pgpru.com/comment53277

[link45] http://www.pgpru.com/comment51610

[link46] https://www.pgpru.com/comment52684

[link47] http://www.pgpru.com/comment45273

[link48] http://www.pgpru.com/comment45321

[link49] http://www.pgpru.com/comment48280

[link50] http://raftaman.net/?p=896

[link51] http://www.pgpru.com/comment52684

[link52] http://www.pgpru.com/comment53302

[link53] http://www.pgpru.com/comment52042

[link54] https://tails.boum.org/news/index.en.html

[link55] http://www.pgpru.com/comment51733

[link56] http://www.pgpru.com/comment51825

[link57] http://www.pgpru.com/comment51958

[link58] http://www.pgpru.com/faq/obschie#h46-13

[link59] http://rvb.ru/18vek/krylov/01text/vol3/01fables/165.htm

[link60] http://www.pgpru.com/novosti/2009/trivialjnyjjobhodnastroekproksivopera

[link61] http://www.pgpru.com/novosti/2008/ujazvimostjvoperaelementarnajadeanonimizacijaprirabotevtor

[link62] http://www.pgpru.com/forum/anonimnostjvinternet/chjorbedyee5fd8eebjaeefyecfrceetivtor

[link63] https://en.wikipedia.org/wiki/Firefox#Extended_Support_Release

[link64] http://imgs.xkcd.com/comics/security.png

[link65] http://www.pgpru.com/comment53183

[link66] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2

[link67] http://www.pgpru.com/comment52022

[link68] http://www.pgpru.com/comment16377

[link69] http://www.pgpru.com/comment16398

[link70] http://www.pgpru.com/comment16399

[link71] http://www.pgpru.com/comment53275

[link72] http://www.pgpru.com/comment53343

[link73] http://www.pgpru.com/comment53310

[link74] http://www.pgpru.com/comment53316

[link75] http://lurkmore.to/Ты_хуй

[link76] http://www.pgpru.com/comment53318

[link77] http://www.pgpru.com/comment53320

[link78] http://www.pgpru.com/comment53178

[link79] https://ru.wikipedia.org/wiki/Ad_hominem

[link80] https://ru.wikipedia.org/wiki/Доведение_до_абсурда

[link81] http://www.pgpru.com/comment48866

[link82] http://www.joelonsoftware.com/articles/LeakyAbstractions.html

[link83] http://russian.joelonsoftware.com/Articles/LeakyAbstractions.html

[link84] http://www.pgpru.com/comment47929

[link85] http://www.pgpru.com/comment48140

[link86] http://www.pgpru.com/comment53356

[link87] http://blogs.law.harvard.edu/philg/2010/02/09/public-tv-figures-out-how-to-fly-regional-airliners/

[link88] http://www.etks.info/

[link89] http://www.pgpru.com/comment53392

[link90] http://www.pgpru.com/novosti/2010/vladelecdvuhuzlovsetitormozhetdeanonimizirovatjot15do9500poljzovatelejjvsutki

[link91] http://www.pgpru.com/comment52921

[link92] http://www.pgpru.com/chernowiki/statji/kriptologija/modeljraspredeljonnojjsetihranenijakljucha

[link93] http://www.pgpru.com/comment53336

[link94] http://www.pgpru.com/comment47030

[link95] http://www.pgpru.com/comment16045

[link96] http://www.pgpru.com/comment48059

[link97] https://en.wikipedia.org/wiki/Cognitive_bias

[link98] http://www.pgpru.com/comment35644

[link99] https://ru.wikipedia.org/wiki/Список_когнитивных_искажений

[link100] https://www.pgpru.com/comment50185

[link101] https://www.torproject.org/docs/tor-manual-dev.html.en

[link102] https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/WebBrowsers

[link103] https://trac.torproject.org/projects/tor/wiki/doc/TorBOX/OptionalConfigurations#VidaliaforTorBOX

[link104] https://trac-vidalia.torproject.org/projects/vidalia/wiki/FAQ#ExistingTor

[link105] http://www.pgpru.com/comment52079

[link106] https://www.pgpru.com/comment25711

[link107] http://www.pgpru.com/forum/offtopik/opciineadekvatnogopovedenijafirefox

[link108] http://msdn.microsoft.com/ru-ru/library/ms155949(v=sql.100).aspx

[link109] http://docs.altlinux.org/archive/2.4/master/alt-docs-master/ch07s03.html

[link110] http://www.nbuv.gov.ua/books/2004/freebsd/users-system.html

[link111] https://gitweb.torproject.org/torbrowser.git/tree/maint-2.2:/src/current-patches/firefox

[link112] https://lists.torproject.org/pipermail/tor-talk/2011-October/

[link113] http://www.pgpru.com/comment53711

[link114] https://lists.torproject.org/pipermail/tor-dev/2012-June/003640.html

[link115] http://www.pgpru.com/comment53712