Tor Browser Bundle и пакетный Tor
Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!
Ссылки
[link1] https://trac.torproject.org/projects/tor/ticket/3994
[link2] https://lists.torproject.org/pipermail/tor-talk/2011-October/021706.html
[link3] https://trac.torproject.org/projects/tor/ticket/4192
[link4] https://lists.torproject.org/pipermail/tor-talk/2011-October/021739.html
[link5] https://lists.torproject.org/pipermail/tor-talk/2011-October/021742.html
[link6] https://trac.torproject.org/projects/tor/ticket/2308
[link7] https://trac.torproject.org/projects/tor/wiki/doc/TorFAQ#WhatdoIneedtodotogetanewfeatureintoTor
[link8] https://blog.torproject.org/blog/trip-report-arab-bloggers-meeting-oct-3-7
[link9] https://trac.torproject.org/projects/tor/wiki/org/roadmaps/Tor
[link10] https://trac.torproject.org/projects/tor/wiki/org/sponsors
[link11] https://blog.torproject.org/blog/plain-vidalia-bundles-be-discontinued-dont-panic
[link12] https://blog.torproject.org/blog/trip-report-arab-bloggers-meeting-oct-3-7#comments
[link13] http://wiki.polymorf.fr/index.php?title=Howto:User_Level_Firewalling
[link14] http://www.pgpru.com/comment48573
[link15] http://www.pgpru.com/comment48584
[link16] http://www.pgpru.com/novosti/2011/vtorbrowserpomeschenaeksperimentaljnajazaschitaotserjjoznojjstatisticheskojjataki
[link17] https://www.torproject.org/projects/torbrowser/design/
[link18] https://trac.torproject.org/projects/tor/ticket/628
[link19] https://blog.torproject.org/blog/plain-vidalia-bundles-be-discontinued-dont-panic#comment-12619
[link20] http://www.pgpru.com/comment43167
[link21] https://www.torproject.org/docs/faq.html.en#TBBSocksPort
[link22] http://www.pgpru.com/comment48168
[link23] http://www.pgpru.com/comment48261
[link24] http://www.pgpru.com/comment48815
[link25] http://www.pgpru.com/comment48837
[link26] https://www.pgpru.com/forum/unixlike/nastrojjkatorruterapodbsdtransparenttorproxykakanonymizingmiddlebox
[link27] http://www.pgpru.com/comment51911
[link28] http://www.obsd.ru/8/?q=node/1632#comment-2019
[link29] https://www.pgpru.com/comment48825
[link30] https://www.torproject.org/about/jobs.html.en
[link31] https://www.torproject.org/about/corepeople.html.en
[link32] http://www.pgpru.com/comment52683
[link33] http://www.pgpru.com/forum/prakticheskajabezopasnostj/truecryptinternet
[link34] http://www.pgpru.com/comment48825
[link35] http://www.pgpru.com/comment36423
[link36] https://ru.wikipedia.org/wiki/Решение_задач
[link37] https://ru.wikipedia.org/wiki/Метод_проб_и_ошибок
[link38] https://trac.torproject.org/projects/tor/ticket/5741#comment:22
[link39] http://www.pgpru.com/novosti/2012/kriticheskajaujazvimostjvtorbrauzereraskryvaetzaprosypoljzovatelejj
[link40] https://trac.torproject.org/projects/tor/ticket/5791
[link41] http://www.pgpru.com/comment52149
[link42] http://comments.gmane.org/gmane.network.tor.general/2853
[link43] http://www.pgpru.com/comment48273
[link44] http://www.pgpru.com/comment53277
[link45] http://www.pgpru.com/comment51610
[link46] https://www.pgpru.com/comment52684
[link47] http://www.pgpru.com/comment45273
[link48] http://www.pgpru.com/comment45321
[link49] http://www.pgpru.com/comment48280
[link50] http://raftaman.net/?p=896
[link51] http://www.pgpru.com/comment52684
[link52] http://www.pgpru.com/comment53302
[link53] http://www.pgpru.com/comment52042
[link54] https://tails.boum.org/news/index.en.html
[link55] http://www.pgpru.com/comment51733
[link56] http://www.pgpru.com/comment51825
[link57] http://www.pgpru.com/comment51958
[link58] http://www.pgpru.com/faq/obschie#h46-13
[link59] http://rvb.ru/18vek/krylov/01text/vol3/01fables/165.htm
[link60] http://www.pgpru.com/novosti/2009/trivialjnyjjobhodnastroekproksivopera
[link61] http://www.pgpru.com/novosti/2008/ujazvimostjvoperaelementarnajadeanonimizacijaprirabotevtor
[link62] http://www.pgpru.com/forum/anonimnostjvinternet/chjorbedyee5fd8eebjaeefyecfrceetivtor
[link63] https://en.wikipedia.org/wiki/Firefox#Extended_Support_Release
[link64] http://imgs.xkcd.com/comics/security.png
[link65] http://www.pgpru.com/comment53183
[link66] http://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
[link67] http://www.pgpru.com/comment52022
[link68] http://www.pgpru.com/comment16377
[link69] http://www.pgpru.com/comment16398
[link70] http://www.pgpru.com/comment16399
[link71] http://www.pgpru.com/comment53275
[link72] http://www.pgpru.com/comment53343
[link73] http://www.pgpru.com/comment53310
[link74] http://www.pgpru.com/comment53316
[link75] http://lurkmore.to/Ты_хуй
[link76] http://www.pgpru.com/comment53318
[link77] http://www.pgpru.com/comment53320
[link78] http://www.pgpru.com/comment53178
[link79] https://ru.wikipedia.org/wiki/Ad_hominem
[link80] https://ru.wikipedia.org/wiki/Доведение_до_абсурда
[link81] http://www.pgpru.com/comment48866
[link82] http://www.joelonsoftware.com/articles/LeakyAbstractions.html
[link83] http://russian.joelonsoftware.com/Articles/LeakyAbstractions.html
[link84] http://www.pgpru.com/comment47929
[link85] http://www.pgpru.com/comment48140
[link86] http://www.pgpru.com/comment53356
[link87] http://blogs.law.harvard.edu/philg/2010/02/09/public-tv-figures-out-how-to-fly-regional-airliners/
[link88] http://www.etks.info/
[link89] http://www.pgpru.com/comment53392
[link90] http://www.pgpru.com/novosti/2010/vladelecdvuhuzlovsetitormozhetdeanonimizirovatjot15do9500poljzovatelejjvsutki
[link91] http://www.pgpru.com/comment52921
[link92] http://www.pgpru.com/chernowiki/statji/kriptologija/modeljraspredeljonnojjsetihranenijakljucha
[link93] http://www.pgpru.com/comment53336
[link94] http://www.pgpru.com/comment47030
[link95] http://www.pgpru.com/comment16045
[link96] http://www.pgpru.com/comment48059
[link97] https://en.wikipedia.org/wiki/Cognitive_bias
[link98] http://www.pgpru.com/comment35644
[link99] https://ru.wikipedia.org/wiki/Список_когнитивных_искажений
[link100] https://www.pgpru.com/comment50185
[link101] https://www.torproject.org/docs/tor-manual-dev.html.en
[link102] https://trac.torproject.org/projects/tor/wiki/doc/TorifyHOWTO/WebBrowsers
[link103] https://trac.torproject.org/projects/tor/wiki/doc/TorBOX/OptionalConfigurations#VidaliaforTorBOX
[link104] https://trac-vidalia.torproject.org/projects/vidalia/wiki/FAQ#ExistingTor
[link105] http://www.pgpru.com/comment52079
[link106] https://www.pgpru.com/comment25711
[link107] http://www.pgpru.com/forum/offtopik/opciineadekvatnogopovedenijafirefox
[link108] http://msdn.microsoft.com/ru-ru/library/ms155949(v=sql.100).aspx
[link109] http://docs.altlinux.org/archive/2.4/master/alt-docs-master/ch07s03.html
[link110] http://www.nbuv.gov.ua/books/2004/freebsd/users-system.html
[link111] https://gitweb.torproject.org/torbrowser.git/tree/maint-2.2:/src/current-patches/firefox
[link112] https://lists.torproject.org/pipermail/tor-talk/2011-October/
[link113] http://www.pgpru.com/comment53711
[link114] https://lists.torproject.org/pipermail/tor-dev/2012-June/003640.html
[link115] http://www.pgpru.com/comment53712
Да они в последнее время совсем забили на продвинутых пользователей. Приходиться обо всё догадываться самим.
Возможен такой вариант. Оставить аккуратно настроенные системные Tor и Polipo (в зависимости от способа прозрачной торификации polipo м.б. не нужен и даже вреден). А для TorBrowser не запускать прилагаемый к нему скрипт, который стартует локальный тор, видалию и сам браузер. Лучше запускать непосредственно только ../tor-browser_en-US/App/Firefox/firefox.
Но перед этим, чтобы корректно работали поставляемые с браузером плагины (Torbutton, HTTPS-everywhere, NoScript), скопировать содержимое каталогов:
Ну, или тоже самое симлинками.
При этом как быть с видалией – неясно. Она в этом случае как-бы не нужна. И желания её настраивать, как лишнюю сущность, нет.
Хорошо бы конечно уточнить в рассылке, насколько корректно так делать, описав ситуацию (что нужно именно оставить системный Tor). Иначе можно получить отписку – пользуйтесь только стандартным способом по инструкции для чайников или ждите, пока начнут собирать tor-browser-пакеты для Debian, с учётом его специфики и конкретно случаев запуска tor'a в системе из ими же (разработчиками) поставляемого дебиановского tor-пакета, а не из под пользователя.
Они ж продвинутые на них нельзя забить, они именно что обязаные природой догадываться сами. Желательно напрямую читая коммиты из репозитария. Собственно оттуда же можно почерпнуть патчи которыми дорабатывают апстримный файрфокс, и сделать себе всё самостоятельно выкинув ненужные скрипты и видалию на стадии сборки.
Но продвинутые тоже любят готовенькое по правилам[link1], однако.
https://lists.torproject.org/p.....-October/021706.html[link2]
Начиная с текущей версии 2.2.33-3, словно бы в ответ на наши пожелания, всё как будто нарочно поломали. Теперь TorBrowser из Bundle по-отдельности нормально уже не работает. При запуске напрямую он просто падает с ошибкой. При попытке закомментировать Видалию в скрипте и вписать туда запуск firefox-TB, он таки подхватывает большинство нужных параметров, стартует, не падает и работает. Ошибки при этом всё равно выводятся. Плагины при этом не работают (TB, HTTPS-everywhere, NoScript). Также он не подхватывает профиль Iceweasel, так что все накопленные в нём закладки не отображаются.
Работать с обычным (дефолтным) стартовым скриптом, как задумали авторы, можно. Но тогда трафик будет дважды заворачиваться в Tor при прозрачной торификации юзера и зверски тормозить. Также, tor будет стартовать с правами пользователя, а не как системный демон с ограниченными правами. Что плохо с точки зрения безопасности. Не говоря уже о том, что навесить на это стандартные правила SELinux становится совсем невозможно.
Пользователям придётся работать с TBB как есть, прозрачная торификация накрывается медным тазом. Можно конечно переколбашивать исходники, но поскольку там часто меняющаяся бета-версия, хотелось бы придумать что-то получше.
И судя по скупым/неохотным ответам разработчиков (одного пока), исправлять ситуацию они сами не будут. Людей/ресурсов на это нет и/или это не в приоритете. Как во всём opensource: что не устраивает — делайте сами, без шансов попасть в мэйнстрим. А для over-99% пользователей проще иметь простую готовую сборку, с готовыми настройками из-коробки, пусть и без чудес гибкости и параноидальных настроек безопасности. И вообще, пользователи по-умолчанию сидят под Виндой, которой отдаются приоритеты в плане разработки клиентской части.
А прозрачная торификация и отдельные tor-пакеты теперь похоже будут актуальны только для серверов.
Может быть проще будет использовать виртуальную машину с Tor Browser?
Как прозрачно торифицировать трафик, идущий с этой машины (так чтобы и другие программы могли через Tor работать и случайные утечки перекрыть)? По имени пользователя? Так он уже запустил там Tor из-за этой сборки, получится опять двойное заворачивание трафика.
Прозрачная торификация не отменяет параллельной возможности коннектиться к Tor'у как к socks-прокси: кто хочет — сам сконнектится с IP:порт, кто не хочет — тех на тот же Tor прозрачно завернёт firewall. В Tor Browser что, нельзя поменять настройки IP:порт для polipo/privoxy/Tor?
Можно конечно. Можно тогда и наоборот всё сделать: два тора использовать (или по одному на каждого юзера-анонима — раз уж они у каждого внутри TBB лежат), настроив их на разные порты. Один из TBB, другой внешний. И разделять их файрволлом, что тоже интересно. А на внешнем подхватывать, то, что внутренние торы не слопали. Хотя это костылестроение и красноглазие.
Лучше действительно как-то по-простому соорудить это в VM. Но такой вариант torproject вообще не рассматривает и он даже не обсуждался в рассылке. Кстати и их вики и часть доков резко устарела — кое-где ещё описывается privoxy (впрочем как и у нас).
Официальная позиция торпроджекта видится опять же такой: непараноикам рекомендуется просто скачать TBB и использовать как есть одним кликом и не заморачиваться. Этого как-бы достаточно.
Любители попараноить и покрасноглазить могут пообсуждать свои наработки здесь. А то мы так тоже всех пользователей распугаем :)
Непонятен такой момент. Стартовый скрипт запускает видалию. Она настраивает локальный Tor, чекает коннект через него и запускает Aurora-Firefox-TorBrowser, передавая ему какие-то параметры. Если бы всё делалось только скриптом, то было бы проще. А так надо ещё в Видалию лезть.
И раз разработчики не хотят сами разделить всё по пакетам для Debian и др. систем, а пакуют только связкой и просить их об этом бесполезно, то может предложить им какую-то неумолчательную опцию в каком-нибудь конфиге, который бы проверялся стартовым скриптом — "использовать внешний Tor"?
Они поломали нарочно после того как внезапно[link3] нашли багу для пользователей самой массовой системы. Настроили костылей вокруг брузера, вот потому и нельзя теперь его запускать первым без новых костылей.
Если вы про то, что под каждым торифицируемым юзером запускать Tor с его же правами — это дурная идея. Торифицируемый юзер — это одна сущность. Пользователь, под которым мы хотим запустить для него Tor — другая сущность. Дело в том, что нет простых способов, например на уровне firewall, контролировать куда идёт трафик от пользователя, под которым запущен Tor. Если выполняется злоумышленный код под таким юзером и патчится Tor-клиент, мы беспомощны, потому надо хотя бы разделять по юзерам как я выше сказал.
Не знаю как проще соорудить костыль, но можно вот так. Пусть из-под юзера всё запускается так, как запускается по умолчанию. Это должно работать по спецификации разработчиков. Далее, когда уже всё запустилось, мы глушим 9ым сигналом Tor, который был запущен под юзером, и запускаем уже свой Tor. из-под другого специального пользователя, и пропсываем его IP:порт в настройках TBB. Он съест такой трюк? Далее подгружаем правила pf/iptables и нужный нам юзер залочен так, как надо.
Если убийство Tor'а связка не переживёт, мы можем параллельно запустить второй Tor на других IP:порт и указать его связке когда она уже запустилась, а потом fw'ом закрыть трафик, идущий не на второй Tor.
Идея проста — второй Tor должен заэкранировать первый. Поскольку на одном host:port 2 сервиса не поднять, надо как-то хитрее, типо вышеописанного. В голове крутится идея наподобие работы рутинга: у нас есть 2 маршрута параллельно, оба дефолтные, но у них разные приоритеты. Вот так же бы и с Tor'ом сделать...
В самом крайнем случае проще и надёжней хакать не видалию, а именно сам Tor-клиент. Сделать так, чтобы его функционал был ограничен простым перенаправлением пакетов на нужный адрес. Можно даже скомпилить такой клиент из команды ssh -D, назвать его "Tor" и подсунуть в связку. Далее вывод с такого Tor-клиента-пустышки будет fw'ом перенаправляться в настоящий Tor, запущенный под другим юзером.
В этой ветке смешнее, чем в теме Юмор и главное никакого оффтопика. Вот стоило написать в рассылку про желание запускать TB без связки и действительно, нарочно сделали.
А убийство Тора с Видалией после запуска как бы прокатывает, но она в торбатон прописывает каждый раз случайный порт socks-сервера, добавляя геммороя.
Также в торбатоне нельзя теперь поменять умолчательные установки на пункт "transparent firewalling" — он остался (вероятно, в качестве насмешки), но просто не выбирается.
Ну это тоже будет потенциально язвимый сетевой демон, запущенный с правами пользователя. Да и ещё и несущий больше лишнего функционала, чем сам Tor (доступ к шеллу, запись, исполнение команд). Или всё перекомпилировать до полной кастрации?
Это-то как раз не страшно. Firewall позаботится о том, чтобы в обход настоящего Tor'а он в сеть пройти не смог.
В принципе — да, но если мы рассматриваем как угрозу получение злоумышленником исполнение произвольного кода от имени Tor-пользователя, то он и так и так получает Т.е. от такого надо защищаться виртуалкой.
Ну если квалификации хватает :) Просто сделать вызов конкретной UNIX-команды из исходника на сях — это 10 строчек от силы на всё про всё, а кастрировать — тут уже понимание нужно. При необходимости ssh -D можно заменить любым простым легковесным socks-прокси.
В общем, пока так:
Также можно торифицировать содержимое виртуалки. И Tor с юзерскими правами не используется. А системный /etc/init.d/tor может запускаться только рутом, затем сбрасывает свои права и работает из-под пользователя debian-tor с ограниченными правами (например не имеет своего шелла и может быть придавлен SELinu'ксовскими правами).
Плюсы ещё в том, что ни одна из возможных ошибок не фатальна: если не убить юзерский tor, то трафик FF будет просто дважды заворачиваться в Tor-сеть и тупить с удвоенными цепочками; если забыть поменять порт в TorButton, то браузер напишет "не могу установить соединение".
Вот только думаю, стоит ли публиковать такой рецепт в рассылке или параноикам всё равно ничего не ответят, а опять устроят подлянку? Хотя, если конструктивно сформулировать, может будет больше пользы. Разработчики же не из вредности, а из-за компромиссов в сторону большинства делают свои изменения.
Имхо, стоит — хотя бы для того, чтобы показать разработчиком до какого абсурда приходится опускаться при отклонении от "генеральной линии партии".
опубликовал[link4]. Спасибо всем, кто помогал в придумывании решения.
И не мы одни попадаем в этот абсурд: кто-то уже придумал решение похуже — перебить все права TBB на debian-tor и при этом по-ошибке одной командой
расшарил иксы[link5] на всю сеть и дал доступ также и всем программам со своего хоста (судя по адресу почты, может даже с Tor-узла). Epic fail!
Если разработчики не придумают нормальные, готовые, проверенные, обкатанные опции для unix-friendly использования, то будет не только абсурд, но и некоторое количество покалеченных самопальными решениями.
Подождём, что оветят теперь в рассылке (по существу, а не то, что уже ответил кто-то там).
Что-то они не особо активно отвечают в рассылке (разрабы), у меня уже закрались мысли, что американское правительство "нагнуло" их на то, чтобы они делали Tor для "бунтующих таджиков", а не для американцев/европейцев и в т.ч. русских.
А как правильно добавить запись об убийстве видалии в стартовый скрипт?
, чтоли?
Вполне возможно, что они отмолчатся. Тем кто перегружен, или не может что-то сделать по независящим от него обстоятельствам неохота оправдываться. Проект разросся, а сил на доработку много чего нет. Они сами, думаю не рады, что им приходиться гнаться за Firefox'ом и быть от него в зависимости. Все эти фичастые браузеры похуже правительств. Куча других задач в проекте также не решено.
В сам стартовый скрипт дописать простую команду нельзя. Нужно ждать, пока Видалия соизволит запустить FF, проверив соединение с Tor. И только потом прибивать. На что может уходить дико много времени при двойной торификации в файрволлинге (но меньше, если скачанная статистика не потеряла актуальность). Нам ещё повезло, что они упустили код возврата ошибки 137. Если прибить всё без девятки, то Видалия штатно закрывается и штатно закрывает FF. Они могут в следующей версии обломать нас и с этим, если считают запрет запуска FF без Видалии необходимым.
Вот такой алиас можно использовать:
(Подразумевается, что в процессах ничего лишнего со словом Data не висит. Или тогда надо парсить вывод ps подробнее)
И запускать от имени пользователя (который запустил TBB-script), после того, как видалия запустит TBB-FF.
В принципе, pkill -9 vidalia срабатывает нормально, равно как pkill -9 tor (запускать над под юзером,а не под рутом, ибо последняя команда под рутом прибьет системный Tor).
Я несколько дней назад написал такой тупой скрипт:
,
положил его в пользовательские bin'ы заторенных юзеров (чтобы отвязывать от терминала торбраузер).
До этого, грубо говоря, плевал на то, что видалия и tor от юзера висят в системе, сегодня решил их прибивать.
От руки делать влом, дописал в этот скрипт в конец:
Не работает, если убивается видалия сразу, не запустив браузер, он не запускается, эскпериментальным путем пришел к тому, что достаточно перед ними указать , меньше маловато.
Но допустил ошибку – т.к. по логике вещей если нажать °C до старта всей муйни, должна убиваться дальшейшая работа скрипта и не срабатывать комадны kill.
Однако, если после запуска скрипта и старта видалии нажать °C, то видалия тоже почему-то тоже убивается, хотя по логике вещей не должны исполняться команды pkill.
Записал скрипт в таком виде:
Также почему-то убивается видалия и браузер, даже после запуска последнего.
Как бы лучше этот сриптец переписать?
Так если они довели до ума рыжелиса, а потом навесили на него всякую муть типа видалии и локального тора, какие проблемы "чистый браузер" без довесков выложить?!
Наверное, Роберт или Майк не юзают это свое поделие, наверняка же ходят через прозрачно торифицированный юзер и как-то эту проблему для себя решили.
Или также мучаются как мы?!
Скорее этот случай. Вон, Linus, пишет ядро в гноме/kde, а не в ion3 и не в xmonad как можно было бы подумать.
Утверждается, что по уму при запуске сервис сохраняет свой pid в некотором файле. Дальше надо прочитать этот pid и убить его. Ну, как стартовые скрипты работают... Правда, когда всё не очень отлажено, а среда агрессивная, рано или поздно возникает ситуация, когда pid в файле не соответствует реальному, либо там пуст а процесс реально запущен и т.д. Так что ps — это истина в последней инстанции, и кроме как умного парсера, которые вытащит оттуда pid'ы и предложит их убить (можно даже интерактивный скрипт написать под это дело), мне ничего в голову не приходит.
Отслеживать по таймауту слишком ненадёжно — может и три минуты провисеть. Можно отслеживать появление firefox и тогда сразу всё гасить. Потому что с дважды заторенным пользователем тоже лучше не работать, хотя бы из-за сетевых тормозов.
А вот почему убивается FF после того, как видалия его запустит, сложно сказать.
Я запускаю не из терминала, а из гуёвой пускалки. Затем меняю socks-port в FF вручную. И только затем (но сразу после этого) запускаю прибивающую команду в терминале. Может от последовательности действий завсисит.
Видалия — поделие то ещё. Может в каких-то KDE она и пашет, но приходится наблюдать пустую нераскрывающуюся рамку, пока она не сконнектится с Тором. Какой ужас они нам сделали!
Не знаю, как там Майк и Роберт, но ранее гости в теме давали ссылки на тикеты где ещё продолжается обсуждение:
https://trac.torproject.org/projects/tor/ticket/4192
https://trac.torproject.org/projects/tor/ticket/3994
Кстати, вот официальное решение юниксоидам, которое они предлагали раньше:
https://trac.torproject.org/projects/tor/ticket/2308
Используется таки видалия, но стыкуется с системным тором и права на неё типа перебиваются и системный torrc, что чуть лучше, но всё равно менее безопасно. Попробую предложить закрыть им этот тикет, который уже десять месяцев висит. И переименован он Роджером в "необходимость написания инструкции для использования видалии с тором, закружаемым при старте системы". Так и не написали ничего внятного. И таких тикетов масса.
[off]
ага, он его защищал, типа больше и не надо, а потом не выдержал и где-то потроллил по поводу идиотичности последних гномовских нововведений. Не помню, чем дело кончилось, может он с него ушёл. Или так, поворчал просто.
[/off]
unknown, твоя команда не совсем правильно работает, команда print в awk выводит номера процессов видалии и тора в две строчки, один из них убивается, а номер другого воспринимается оболочкой как самостоятельная команда и оболочка сообщает, что нет такой команды.
Я попробовал сделать так:
Работает. Хотя я плохо разбираюсь в опциях printf, может есть более кошерное решение?!
Может зависеть ещё от того, какой awk установлен, его симлинк может указывать на mawk или gawk. У них синтаксис может немного отличаться.
Уже начинаю сомневаться во всей этой затее. Может не стоит быть святее
Папы РимскогоРоджера Динглдайна и воспользоваться тикетом 2308[link6]?В системном торе разрешить в конфиге управляющий порт, туда же добавить хэш пароля. Этот пароль и порт прописать в видалии. Может в torbutton ещё также что-либо прописать.
Видалию так уж и быть, оставить. Она будет рулить системным тором. Также из встроенного ныне торбатона в TBB можно будет выбирать "new identity".
Может правила iptables подправить. Другие программы будут заворачиваться в тор как и раньше.
Вопросы остаются — не будет ли конфликта между одновременно/попеременно использующими общий тор разными браузерами со своими видалиями (если одну из них не закрыть во время использования другой)?
И какой потенциальный ущерб от управляющего порта? Слабые места и возможные грабли? В нём ранее были уязвимости, поэтому на него и накрутили пароли и куки. А ведь до этой версии TBB можно было бы обходиться и вообще без него. Сама Видалия с инетом соединений не имеет — коннектится только с локальным управляющим портом тора (а у нас он будет изменён с юзерского на системный). Если злоумышленник получит на неё права через браузер, что он может сделать? Можно ли ему перехватить пароль и заставить юзера соединяться с фэйковым тором?
Объяснять свой компромисс в этом вопросе разработчики не хотят или где-то есть более подробное обоснование их решений?
А вот этот пункт FAQ[link7] отчасти объясняет, что они делают только то, что им самим нравится или принимают полностью готовые решения (с формализованными объяснением, аргументацией, документацией и желательно уже в виде программной реализации).
В Help'е к Видалии и в первом пункте тикета для использования TBB рекомендуется вообще отключить системный Tor, так что похоже свой выбор они уже сделали.
Как минимум — понять какие звенья в используемой цепочке и слить их злоумышленнику через Tor. Никогда бы не открыл управляющий порт для доступа с правами торифицируемого юзера, если деанон реально критичен.
Команда Tor "слилась" под власти "большой восьмерки" и теперь всячески снижают анонимность сети Tor, чтобы она могла использоваться только против Китая и Ирана, а не против интересов властьимущих стран "золотого миллиарада"?!
Что-то мне изначально не понравилась эта идея с "To toggle or not to toggle"... Что-то изначально было в ней подозрительное...
Может, они перестанут поддерживать и пакеты системного Tor'а тоже?!
[conspirology mode]
Пока в основном на бунтующих арабах[link8] тренируются. Как приехали оттуда, так сразу новую версию TBB выпустили, под них, вероятно, адаптированную.
И да, часть фич они выполняют по заказу спонсоров[link9], каждый из которых обозначен буквой "A", "D", "E", "F".
Вот подробнее задачи каждого из спонсоров[link10], но кто эти спонсоры не указано. Кто платит, тот, как говорится, и заказывает музыку.
[/conspirology mode]
unknow, т.е. нас в ближайшем будущем ожидает ппц проекту Tor?
unknown, отправил комментарий в рекомендованную Вами запись в блоге о моих подозрениях, интересно, опубликуют или нет? Если нет, то, вероятно, мои подозрения обоснованные...
А так вроде особо криминального в пожеланиях спонсоров нет (читал правда выборочно), кроме некоторых странных вещей (включение поддержки автообновления и т.п.).
И да, они пишут про продолжение поддержки Vidalia, TBB и т.п., но в самом по себе этом факте нет ничего плохого.
Может, они тайно доводят пожелания такого рода до команды Tor?
Остается надеятся, что Tor продолжает оставаться полезным для разведок с точки зрения, например, обеспечить возможность передачи данных из любой точки мира без возможности перехвата и деанонимизации.
Тогда, вероятно, его не будут ломать окончательно, делая недоступным для продвинутых юзеров, опасающихся вражеских действий властей крупнейших государств.
Почему? Там зато теперь есть кнопка "сделать всё хорошо", т.е. анонимно запустить браузер, видалию и тор из-коробки одним кликом. Что должно привлечь толпы анонимусов, незнакомых со специфическими навыками, заработанными хронической паранойей.
Для поддержки серверов останется скорее всего обычный пакет, как есть. Не все же узлы держать на запущенных из под пользователя процессах.
это для винды, как и многое другое.
Новое сообщение в блоге от Эрин: Don't Panic[link11]. всех пересаживают на Видалию с единообразной конфигурацией. Но предложения по поводу альтернативных реализаций готовы рассмотреть. Я так понимаю, что просто вычитывать мысли из постингов в блоге и рассылке им некогда, нужен готовый грамотный proposal.
unknown, я все-таки не понимаю, что они творя. Это же не unix- и не open source way!!!
Они там совсем рехнулись?! Может, следующим шагом будет сделать Tor пропиетарным с закрытым кодом, с дырами и бэкдорами для спецслужб?!
P.S. Они там похоже помешались на виндоуз-юзерах, вместо того, чтобы пропагандировать переход на *nix и прозрачную торификацию...
Там есть Что они хотят? Разделить пользователей Tor по каким-то критериям? Сделать для Ирана — свой Tor, а для Европы — другой? Чтобы проще отсеивать было who is who?
Она — вопрос удобства. Безопасность сама по себе не повышает никак (скорее наоборот — под неё труднее написать правильные и безопасные правила). То, что реально повышает безопасность — сами по себе настройки fw, не позволяющие ходить юзерам в обод Tor (например, в обход Tor-прокси).
Текущий протокол плохо масштабируется на большое число узлов. DA не смогут справиться со статистикой, если узлов будет больше, кажется, 10000. Возможно, узлы будут записываться рэндомно в какие-нибудь свободные (в смысле неперегруженные под завязку на данный момент) DA, образовывая иерархические кластеры. А пользователю не нужно будет скачивать всю мегастатистику большой сети целиком.
Это общие предположения, на основании того, какие проекты анонимных сетей существует и того, что проскакивает в рассылке, полностью "дорожные карты" не читал.
Как иначе по-надёжному завернуть в Tor программы, которые не умеют работать с прокси или socks вообще? Например почту. Пускай в таком случае не до конца даже вырезаются деанонимизирующие заголовки, может кому-то нужно соединиться со скрытым сервисом ремейлера или со своим скрытым сервисом.
Насчёт, "а если они не умеют Tor-proxy вообще" см. выше. Другой аспект, то что если Vidalia, TBB и Tor будут прибиты гвоздями друг к другу и запускаться из-под юзера, то и фильтрация в файрволе по юзеру не будет иметь особого смысла. Уязвимость в самом слабом звене — браузере будет компрометирвать всю анонимность.
И если обычный пользователь будет считаться в любом случае проигравшим, то более продвинутым пользователям будет труднее защищаться файрволлом, виртуализацией и пр.
С другой стороны, какая альтернатива? Это GnuPG можно использовать как угодно. На свой страх и риск. Хоть из консоли с пайпами, хоть с любой из глючных графических оболочек, хоть плагином к почтовику.
С Тором так не очень хорошо, потому что все должны иметь одинаковый отпечаток-профиль. Анонимность сложнее, чем просто безопасность (приватность, секретность). Нужно всем иметь способ согласования анонимизирующих программ, дающий одинаковый профиль на выходе. Проще сделать его приспособленным для массового пользователя. Иначе большая масса вразнобой настроенных систем позволит отфильтровать "продвинутое меньшинство" правильно настроенных.
Плюс для анонимной системы вообще критична массовость, без таких трудностей в понимании, как для GnuPG. Чтобы не было необходимости знания кучи наворотов.
Как раз таки закладка по всем канонам OpenSource — это когда её можно выдать за случайную ошибку. Теперь некоторые баги файрфокса могут играть роль закладки, к которой разработчики Тора формально не будут иметь никакого отношения: "не виноватые мы — это браузер глючный!"
Чо-то такое даже ответили: https://blog.torproject.org/bl.....ing-oct-3-7#comments[link12]
Роджер (arma) конечно молодец и всё правильно сказал. Почти примерно как и предполагалось или как хотели от него услышать (может они наш форум читают?). Хотя, если отбросить паранойю, скорее мы читаем достаточно много информации от них, поэтому можем составить картину ситуации.
Надо придумывать конструктивные предложения и мягко, вежливо, но настойчиво продвигать их в проект, понимая, что разработчики сами многое хотели бы изменить, но у них не хватает времени/человеко-ресурсов.
Количество узлов растёт очень медленно. Не факт, что до 10000 мы дорастём в ближайшее десятилетие... Действительно ли это настолько приоритетная задача?
И это плохо. Чем меньше множество, из которого выбираются узлы для цепочки, тем меньше анонимность (при прочих равных).
Вот потому я и сказал, что вопрос удобства и/или вынужденная мера. Есть ещё проксификаторы.
Я имел в виду "классический" случай — где есть только Tor, TorButton и браузер.
Ну 2000 узлов сейчас и вроде насыщение есть. Если так, то действительно не то. Может там что-то другое в масштабировании.
И разработчики это понимают. Они сразу указывали на опасность атак разделения при различающейся статистике, доступной разным пользователям. М.б. разработают какой-то особо хитрый алгоритм, по крайней мере они такой вариант рассматривали. Кстати, в "полностью распределённых" сетях в этом плане всё ещё хуже. Но это уже совсем не по топику.
Теперь часть защит (от статистических атак за трафиком на вебсайты) встроена в сам браузер. Который гвоздями прибит к связке.
Последний TBB под прозрачно торифицированными юзерами стал стартовать через одно место.
Сначала видалия орет, что не может установить соединение с Tor, и падает, и запускается только со второго раза.
Что за ппц?!
А он теперь вообще не должен с ним стартовать. Получить статистику через дважды завёрнутый Tor почти нельзя (если только не ждать по 10 мин), там есть метки ячеек.
Есть рабочий вариант как сделать юзера прозрачно торифицированным, а все что идёт через TBB выпускать наружу. Но любое приложение, которое смогло запустится из под Файрфокса, если оно как-нибудь обойдёт настройки и не торифицируется средствами самого TBB, соединится с инетом напрямую.
Не знаю, интересна ли кому-то такая полупрозрачная полуторификация.
Разве это нельзя запретить настройками iptables?
Нет, идея в том, чтобы завести системную группу, например "tbb-tor".
Только первый нюанс. Группы с паролем редко используются (проще говоря, на них давно забили), поэтому по умолчанию стоит древний юниксовый DES, который обрезает пароли до восьми символов (и по ряду особенностей он ещё хуже). По крайней мере, так по умолчанию в Debian. Так что сначала нужно поправить /etc/login.defs на На последующие пароли юзеров это (кажется) не повлияет — они сверяются по методу, определяемому в PAM. Только на группы.
После этого можно добавить группу:
После чего проверить размер хэша пароля группы (чтобы не был короткий, как у DES-хэш) в /etc/gshadow.
Пользователь "debian-tor" — системный tor.
Пользователь "tornet-user" — анонимный "заториваемый" пользователь.
Группа "tbb-tor" — для локального тора из TBB.
После этого из-под юзера можно запустить скрипт видалии с помощью команды
Терминалы, значки, горячие клавиши и гуёвые запускалки привязать по вкусу.
Только знающий пароль группы сможет запустить видалию-tor-FF с GID этой группы.
Ну а файрволл будет выглядеть вот-так:
Но и видалия и тор, который она запускает в связке и файрфокс и всё что будет запущено из-под него, любые порождённые процессы будут иметь GID tbb-tor и выходить наружу. Вся надежда только на то, что сборщики TBB не накосячили и вовремя исправляют дыры безопасности, т.к. файрволл теперь от утечек неанонимного трафика не прикрывает.
Всё остальное из-под пользователя, то что запускается отдельно от TBB (ssh, wget, почта) можно запускать как обычно и оно будет гарантировано заворачиваться в системный Tor. Немного плохо при этом ещё то, что у пользователя будет два параллельных набора сторожевых узлов — для системного Тора и для тора из TBB.
Разумеется, OpenBSD PF тоже умеет делать так[link13].
Использовать группу без пароля, привязанную к пользователю смысла нет. Иначе вообще любая программа с правами этого пользователя может обходить файрволл.
Было бы здорово, если бы кто-то предложил что-нибудь лучше.
Подождите, так были же /comment48573[link14] и /comment48584[link15], из которых я (ошибочно?) сделал вывод о том, что проблема если не полностью, то, по крайней мере, почти решена, прозрачная торификация работает, а всё лишнее можно отрезать iptables'ом.
Первоначальные методы, предлагаемые в этой теме, проваливались один за другим.
Попытки выкачать статистику через дважды заторенное соединение, получить ответ сначала от тора, а затем от браузера в видалию об успешно установленом соединении (а иначе в связке никак) стали очень сильно тормозить. Tor не даёт строить цепочки больше трёх узлов, там есть какой-то вероятностный механизм в протоколе, который определяет по ячейкам в трафике, на сколько узлов они отстоят в цепочке, чтобы так не делали (иначе можно было бы задосить Tor-сеть бесконечной цепочкой). Поэтому дважды заторенные соединения почти не работают.
В своих ответах в рассылке разработчики об этом умолчали (вероятно потому, что механизм недоделан и несовершенен), но в спеках это есть.
Так что теперь даже не выждать старта через "двойной" tor перед тем, как переключиться на системный.
Максимум что теперь можно делать — это выпускать наружу (в т.ч. и из виртуальных машин) весь tcp-трафик от всего, относящегося к TBB, не заворачивая его в системный Tor. А в системный tor заворачивать всё остальное от полунедозаторенного пользователя (не TBB процессы).
Понятно, что выполнение произвольного кода, злонамеренные плагины, которые могли бы создать утечку данных в обход tor и пр. сценарии теперь не блокируются файрволлом. Но это хоть какой-то рабочий компромисс.
Попытки подружить видалию из TBB с системным тором у меня ни к чему хорошему не привели — не работает вообще и подозреваю, может даже из-за этих попыток слетели права на конфиг системного тора перед обновлением, что привело к специфическим глюкам.
Обсуждение решения очень приветствуется. Есть смысл оформить как proposal или как черновик-"idea" (такой формат они тоже негласно принимают).
Была ещё идея, В tor.conf есть опция UID, но это актуально для системного Torа, который может менять UID перед запуском демона, читая первоначально конфиг от рута. Можно было бы сделать просто патч, чтобы менялся и GID, но пользовательский tor — это вам не root. Если группу сделать беспарольной, то любой процесс пользователя может запуститься с таким же GID, а если спрашивать пароль на группу, то как его вводить в tor? Это можно было бы сделать через окно в видалии и некий аутентификационный меанизм (кстати также можно было бы дополнить и UID), но разрабы сейчас не будут этого делать. У них проблема в том, что по их данным только 20% инсталляций tor сконфигурировано безопасно (по самым минимальын критериям), остальные пользователи — феерические сами понимаете кто... Вот эта проблема в приоритете проекта, а не душевные страдания гиков-параноиков, которых призывают самим помочь себе, а проекту нести только почти готовые подходящие решения.
А так, чисто теоретически, при наличии таких патчей, хотя бы только локальный tor можно было бы выпускать наружу, но уже не FF и всё остальное.
P.S. Поправил кое-что в опциях в предыдущем сообщении. Это очень черновой вариант. Критика и идеи приветствуются.
А если поковырятся в исходниках, может получиться самому выковырять браузер из TBB?
И насколько опаснее использовать, скажем, старый iceweasel или firefox с TB, вместо TBB, под прозрачно торифицированным юзером? Это ли не безопаснее, чем прямое раскрытие ip?
P.S. Вообще что-то они намудрили с TBB и похоже гонят проект Tor к бесславному концу.
А если просто убивать (-9) юзерский Tor (несистемный), то он убьёт и видалию и браузер? Т.е. не дожидаясь его успешного запуска — никак?
В TorBrowser помещена защита от стататаки[link16], одним TorButton теперь не отделаться.
Плюс вылезло много фич, по которым можно снимать отпечаток профиля браузера, поэтому всех и пересаживают на TBB.
Видалия сначала получает ответ от юзерского Tor, что он выкачал всю статистику из сети и прошёл успешное соединение, затем от FF. Если убить раньше, то FF (TorBrowser) не запустится. Если его запустить каким-то обходным путём, то он не получит ответ от видалии и закроется.
Скорее вылезло много чего такого, что показывает, что практическая анонимность намного сложнее теории.
Майк Перри обяснял свою позицию в одном из первых ответов к теме[link11].
Раз уж речь о патче, то, полагаю, можно передавать пароль через специальную опцию в тор-конфиге. Сам тор-конфиг, разумеется, должен иметь права чтения только для рута.
1) Это касется и стареньких iceweasel и FF3-?
2) А если бывает важнее не связывание пользователя с определенным профилем, а недопущение раскрытия ip (когда установление физического местонахождения грозит арестом и/или смертью, например)?
3) И если для разных целей (посещения разных инет-ресурсов) существуют разные unix-юзеры, а что-то вообще делается под вирт. машиной, все равно можно сделать профилирование по тому, что это именно этот юзер заходил сюда-то, сюда-то и сюда-то?
Только я не понимаю, зачем прибивать гвоздями составные части TBB друг к другу?! Я понимаю, дуракоустойчивость. Но должна быть и свобода маневрирования.
Тем более, что для юникс-пользователя вообще странно ходить в сеть без использования функций фаервола...
Вы ответ Майка читали? Там все эти тезисы в вопросе к нему приведены. Он сам не хотел переходить на TBB, но ничего лучшего или не смогли придумать, или не было ресурсов реализовать.
Это не абстрактное свойство. Разделение пользователей по профилям и их отфильтровывание — один из путей снижения анонимности сети. Причём более вероятный. И затрагивающий всех. Вероятно, авторы считали применимость и вероятностных атак и детерминированных. Вы учитываете только последние, как самые эффектные, а они считают их в данном случае не самыми действенными (эффективными).
И запускать его сможет только рут, ага. Это же не запуск на старте из /etc/init.d/tor, тут надо проще, чтобы в видалии любой юзер кнопочкой мог остановить и запустить. Или видалию тоже пропатчить и доверять видалии запрос на пароль рута до кучи?
В настройках видалии можно указать иной host:port в качестве Tor'а, где последний уже заблаговременно запущен? Или там тоже гвоздями прибито?
Можно, а что это даст? Как она будет запускать и останавливать системный Tor, который не из под юзера запущен?
А ей надо именно запустить его? Тогда делаем 2 Tor-конфига, забинденные на один и тот же хост:порт. Видалия запускает первый и ждёт пока всё запустится. Через какое-то время прибиваем первый Tor и запускаем второй — системный. Так сработает?
Далее, дабы не палиться под заториваемым юзером, можно настроить так: создаём чистый профиль, настраиваем его, убеждаемся в работоспособности оного и бэкапим его. Также создаём чистую юзерскую директорию, пусть она будет его домашней. Все нужные для доступа файлы, скачанные через Tor, пусть хранятся в иной директории, с иными правами и недоступны для чтения из-под заториваемого юзера. Каждый раз, когда вновь запускаем Tor и прочая, стираем полностью содержимое директории заториваемого пользователя и восстанавливаем "чистую версию" из бэкапа. Этим мы гарантируем отсутствие тайных изменений в настройках, в профиле, в истории браузинга и т.д. Только после того, как Tor родной убит, системный запущен, а iptables/pf включен, можно начинать работать. Всё скачиваемое пусть сохраняется в какой-то временной чистой директории, разрешённой для тор-юзера только на запись. По окончании сеанса её содрежимое переносится в постоянное хранилище, недоступное тор-юзеру. Для пользования хранилищем лучше создать отдельного юзера, которому будет запрещён какой бы то ни было доступ в сеть вообще. Ну, это если без виртуалок, без LiveCD и т.д. — какой-то минимум на колнеке и своими руками.
Кстати, как Tails решает тут нами обсуждаемую задачу подружить TBB, системность Tor-юзера и iptables? Никто не интересовался? А то, может быть, уже не стоит изобретать велосипед?
Предлагаю ознакомиться с интересным документом: The Design and Implementation of the Tor Browser [DRAFT][link17].
Для, как говориться "Ъ", краткое, но абсолютно неполное содержание.
Может кто не согласен с таким толкованием или с тем, что пишут сами авторы, предлагается читать оригинал. Да и есть надежда, что на основе TAILS что-то когда-нибудь сделают и для юниксоидов, как-то портировать в Debian может и будут. А может и нет. Может прозрачную торификацию оставят на уровне "orphaned child". В концепцию "единообразной анонимности" она плохо вписывается.
А как может угрожать анонимности прозрачная торификация? Т.е., у всех есть утечки, а у этих нет, чтоли?! А что это за анонимность тогда, если реальные данные утекают в сеть?!
P.S. По моему они бросилсь в крайность. Злонамеренно ли?!
По суперкукам получается, что предусмотрено избавление от них через кликанье на New Identity? Чего нельзя сделать после убийства видалии...
Интересно, очистка кэша браузера обычными средствами браузера (стереть всю историю) от них помогает?
А также что касается проблемы, изложенной в пункте 11 раздела 3.5 – при пользовании системным тором, надо переходить на альфа-версию и для клиента?
Основная проблема, которую они пытаются решить — это опасность профилирования.
Если пользователь под редким профилем (например похожим на редкую операционку со специфичными настройками — а не на виндоанонимусов) засветился на ресурсе "долой преступный режим" и также кто-то с похожим редким профилем пишет (ещё и стилистически сходно) на форуме любителей аквариумных рыбок, или пушистых котят и пр., то можно собрать всё больше идентифицирующей информации об этом профиле, хотя бы со исходящих узлов.
На данном этапе, это важнее, чем суперпараноидальные настройки для гиков. Также как важнее и массовость за счёт простоты использования. Для анонимности нужны толпы.
Если Tbutton не настроить на управление системного тора через контрольный порт, то это никак не поможет. Даже когда его включат в связку, вероятно только в связке эта фича и будет нормально работать.
По ссылке есть интересный тестик – http://ip-check.info, ругается на то, что настройки TBB отличаются от дефолтного.
Хотя, насколько мне не изменяет склероз, ничего не менял, кроме кастомизации панелей. TBB последней версии, единственно что пускаю его через системный Tor.
Ругается на:
Cache (E-Tags), выводит некий "уникальный ID" (я так понял по отпечатку кэша, после очистки кэша он меняется,а я уже испугался, что FF тоже придумала какой-то номер браузера);
HTTP session 10 minutes (until your Tor identity is changed);
на рефферы (хотя в последних TB отключено резание рефферов);
на некую подпись (signature), причем к моему ужасу оказалось, что она одинаковая под браузерами, открытых под разными локальными юзерами, и не меняется в зависимости от очистки кэша – это еще что за ужас?!
на шрифт, который почему-то windows-1251, хотя в настройках TB указано, что должен быть английский (на torcheck.xenobite.eu показывает такое:
LANGUAGE: en-us,en;q=0.5
ENCODING: gzip, deflate
CHARSET: windows-1251,utf-8;q=0.7,*;q=0.7 – и как изменить это б-ство?! Предлагает поменять его на 8859-1
Также ругается на размер "browser window" (которое он определил без включенного JS!!!), причем рекомендует его поменять на другие параметры.
И как это сделать?!
С этим можно согласиться, но ... большое но. В случае прямого раскрытия ip, можно не собирать дальнейшую информацию, а сразу выезжать, расстреливать или бросать в концлагерь. Как водиться в России и нек. др. странах.
Не совсем понял, он еще не включен в связку TBB? Или речь идет о включении в связку системного Tor'а?
P.S. А что остается гикам?! Ждать, когда за ними приедут?!
Вероятно, это просто хэш от собранных ими параметров. Если у всех пользователей TBB он будет одинаков при любых условиях, тогда это хорошо. Если это наоборот, мера отклонения от сферического среднего TBB, то тогда это плохо.
Ну уж я не знаю, распаковал TBB под незаторенным юзером, предварительно удалив его прежнюю диру, запустил, все равно этот тест ругается:
TBB последней версии. Может, у них просто залочен тест под данные старой версии TBB?
Или тест глючный, или TBB несовершенен и даёт утечку инфы для профилирования. Вполне вероятно, что всё сразу.
unknown, я где-то смотрел, что ты используешь TBB американскую версию.
Интересно, может это связано с использованием мною версии для другого языка? В случае подтверждения этого предположения, получается, бага в TBB, ибо он, как я понимаю, должен давать одиковую инфу сайтам независимо от своей "язычности"?
Если инфа разная — то это баг.
Интересно, в американской версии подпись – та же, только тест говорит, что она правильная.
А вот что касается шрифта – то там
И в torcheck.xenobite.eu – то же. Похоже, что русская версия гадит кодировкой, не в полной мере этот вопрос решен.
Постить багу?
да
Оно?[link18]
А, так его четыре года закрыть не могут? Тогда не надо постить. У них же там нет раздела "Юмор".
unknown, Майк в своем блоге https://blog.torproject.org/bl.....-panic#comment-12619[link19] рекомендовал (похоже тебе) обсудить вопрос пакетного торбраузера с разработчиком Дебиана?
Не пробывал с ним общаться?
Борьба с профилированием и опасными всякими фичами это хорошо, но о функциональности тоже не надо забывать.
Ибо, например, многие необходимые сайте не желают работать без JS, и т.п.
Конечно, можно запускать браузер в вирт. машине, чтобы JS не мог "украсть" лишние данные, но, с другой стороны, теперь, судя по документы, приведенномму unknown, непонятно, что вообще JS может "красть". Я так понял, что разработчики Tor не исключают, что JS научился тому, что раньше умели только Java-апплеты?!
Кстати, это говорит в очередной раз в пользу системного Tor и прозрачного торифицирования.
Далее, следует отметить, что многие сайты вообще используют какие-то кривые JS и имеют такую ужасную функциональность, что не хотят работать с TBB или даже торифицированным стареньким FF (3-).
Причем это официальные правительственные сайты, которые приходится регулярно использовать в практической работе.
Например, речь идет о kad.arbitr.ru и my.arbitr.ru, которые написаны на каком-то самопальном CMS с использованием совершенно кривых JS (кстати, kremlin.ru и gov.ru в этом отношении не лучше, но там нет такого функционала и поэтому с ними таких проблем не возникает, по крайней мере пока).
Соответственно, периодически, по мере прикручивания к ним очередных фич, они перманентно перестают работать с заторенными браузерами.
Так, my.arbitr.ru совершенно не хочет корректно работать с TBB, с iceweasel с TB кое-как работает, и то несколько раз ломали, и после диких скандалов в переписке восстанавливали. Потому что iceweasel стабильный, а Aurora – нестабильная, бета- или даже альфа-версия, и они типа не намерены делать сайт вполне работоспособным с ней.
С другой стороны, это может быть проблемой веб-мастеров. Но согласитесь, одно дело – когда речь идет о сайте какой-то говнокомпании, услугами которой можно пользоваться или нет, а в данном случае – речь идет о правительственном органе, не обращаясь к которому, живя в этой стране, жить практически невозможно.
Нет. JS всегда мог собирать профилирующие сведения, просто до проекта Panopticlick никто не задумывался о том, насколько запущена ситуация, и что даже без доступа к IP-адресу можно уникально идентифицировать пользователя из миллионов других.
По этой же причине "тупо" установка браузера в виртуальную машину нисколько не исправит проблему, если пользователь начнёт навешивать на него все любимые расширения и настраивать их под свои вкусы.
Вряд ли.
Собственно, уже ответили выше. Так или иначе, файерволл — это одно, а настройки about:config — другое, и мешать их в одну кучу не следует. Про последних, как про потенциальную угрозу, я вполне согласен. Файерволл же лишь страхует утечки — определить его можно только в случае "у всех IP утёк, а у тех-то гиков — нет => они выделились". Да пошла она в жопу тогда такая анонимность! ;)
Без специальных плагинов — нет. Как минимум, надо ещё делать rm -R ~/.macromedia/* для очистки флэш-куков. Поскольку поле сие — минное, я бы предложил не надеяться на такие вещи и решать проблему кардинально: каждый раз восстанавливать девственно чистый профиль и домашнюю директорию из бэкапа.
Вас не удивляет, что под разными юзерами будет показываться, что и там и тут — firefox в качестве браузера? :) С подписью — то же самое. Надо смотреть на то, что именно одинаковое под разными пользователями.
Человека, не являющегося постоянным читателем этого форума, видно издалека. Исправляйтесь: /comment43167[link20].
По ссылке: Т.е. и сами защищаться не будем, и другим не дадим. Защита тривиальна, хотя и не лежит в плоскости TBB (потому ею они и не должны напрямую заниматься — достаточно лишь предоставить средства для юзеров сделать это самим через виртуалки/системный Tor/разделение по юзерам и т.д.).
похоже :)
нет
Если я правильно помню, то при обсуждении TBB LiveCD Tails для "более продвинутых" всё же рекомендовали. Так значит что, в Tails проблема как-то уже решена? Собственные патчи Tails'а?
Может попробуешь? Я бы сам пообщался, но в таких случаях я ощущаю нехватку знаний языка, для того, чтобы свободно в онлайн-чате обсуждать такие вопросы.
Вероятно, выложили бы сырцы и описание какое-то в FAQ, как руками делать, для "полупродвинутых" юзеров.
Я вообще онлайн-чатами не пользуюсь. конечно можно было бы попробовать по особому поводу. Мне просто показалось, что Lunar занимается поддержкой правил SELinux. А ничего больше того, что предложено торпроджектом он может и не сделает. Кроме того, нестабильные ветки Debian, на которых всё обычно обкатывается, меня тоже мало интересуют. Можно конечно поискать его среди мантейнеров и посмотреть, какими конкретно проектами он занят.
В FAQ, кстати появился такой вопрос[link21]:
Родят они рано или поздно что-нибудь. И на какой-то старой записи Роджер представлял прозрачную торификацию, как важное достижение в борьбе с утечками для unixоподобных осей. Вероятно это как-то реализуют на новом уровне. В проектах, например была идея подключать к одному клиенту много программ на разных портах, так чтобы для них строились разные цепочки.
Объясните пожалуйста, в чём преимущество использования tbb перед простым Тором в виде сокс-сервера? Если это только обобщённый профиль браузера, то его можно самостоятельно сформировать прокси-сервером, через который идёт трафик от веб-клиента к Тору. И кстати, где найти детальное описание этого профиля, в смысле конкретный вид полей в HTTP-заголовках. Правильно ли понимаю, что tbb представляет ценность только для тех кто пользуется ява-скриптами, флешем и т.п. небезопасными наворотами ввиду сложности самостоятельной настройки.
На мой взгляд, самый безопасный способ серфинга – это установка простого Тора (он ведь отдельно доступен на сайте разработчиков), запускаемого от ограниченного пользователя, и отключение ява-скриптов в браузере. Прозрачная торификация достигается двумя путями.
1. Сокс-редиректор redsocks. Работает как сервер, занимающий определённый порт в системе. На этот порт с помощью nat прозрачно редиректится весь исходящий трафик и пропускается через Тор.
2. vpn-сервер за Тором. На соответствующий виртуальный интерфейс направляется весь исходящий трафик. Попутно решается проблема с udp-трафиком.
Ну и разумеется пресечение утечек с помощью файрвола – в сеть выходит только ограниченный пользователь, от которого работает Тор.
По сравнению со стандартным профилем tbb, более безопасным возможно будет динамический профиль, генерируемый скриптом и передаваемым прокси-серверу при каждом запуске или по расписанию. Тогда большинство профилей будет уникальными. Проблема в формулировке правил генерации, чтобы помимо различия между собой профилей, они бы ещё не выделялись из общего фона.
Читайте здесь[link16]. Атаки уже давно идут на более высоком и серьёзном уровне, а не на том, который был 5 лет назад.
Если оно не попадет в нестабильные ветки, следовательно, не попадет и в бэкпорты, и потом – и в стабильные.
А вот это, как мне кажется, было бы хорошим решением.
Ну так уже жевывали – разжовывали, что куча заголовков отправляется браузером, которые могут послужить (а точнее – служат) основой для построения профиля юзера. А многие параметры системы, для получения которых противником раньше нужен был включенный JS, сейчас получаются им через CСS и т.п. фигню.
Меня другое интересует – правильно ли я понял, что профиль пользователя позволяет не только предположить, что такие-то записи там, и такие-то записи сям – принадлежат ему, но еще и использовать для изучения трафика, идущего от потенциального "клиента", для его идентификации?
Вот интересно, а как Вы подадите документы, например, в арбитражный суд через my.arbitr.ru, не включая JS? Никак.
Ну так это самое главное, зачем первые два пункта?! Или вы все о нем, о мастдае?!
Ну так что, никто не знает где найти описание хвалёного Tor Browser Bundle? (исходный код не надо предлагать) Теоретические атаки как-то не особо впечатляют, чтобы променять контроль над ПО и свободу выбора http-клиента на волшебный ящик в виде TBB c иллюзорными преимуществами.
Насколько я знаю, css-файл просто скачивается и дополняет html-код. Никакого диалога нет без включения js. Что-нибудь конкретное можете привести или это просто слухи?
Как жить без скриптов в браузере – это другая тема, не относящяяся к данной.
С принятием CSS3 в лоно браузеров — уже нет.
Вот нафига такой кал придумывают разрабы браузеров?! Они калоеды?!
Они только реализуют в своём ПО. Придумывает W3C. "Это вебдваноль, сынок".
Не думаю, что разрабам составит труд сделать опциональными некоторые возможности. Но будут ли?
Любые опции — это дополнительный код и дополнительное тестирование. Спрос на эти опции всё равно ничтожно мал. Достаточно посмотреть на историю багов, сообщённых Мозилле членами torproject — тот же hardcoded socks timeout сколько лет висел даже при наличии патчей?
Который явно действует в интересах правительств, корпораций и спецслужб, против народов мира.
Кстати, насколько я помню, в приведенно unknown'ом документе с торблога особенно не разбирается профилирование с помощью браузерных закладок.
Насколько серьезным образом наличие в браузере закладок профилирует пользователя? Т.е. насколько безопасно создавать эти закладки для удобства поиска часто посещаемых сайтов?
И есть ли какой-то способ безопасного их создания/хранения или чего-то подобного? (не считая конечно просто хратить в plain text или в OOO перечень ссылок).
Кстати сказать, когда я смотрю статистику своих сайтов, там показывает, сколько пользователей сделало закладки на страницы моих сайтов.Мне, конечно, может и приятно "мастурбировать" на эту статистику, пользователям, должно быть, совсем нет. Они об этом даже не задумываются, большинство!!!
Неужели никак нельзя отключить отсылку такой информации на сервер?
Браузер может грохнуться, запоров весь профиль. Он в принципе не должен иметь доступ к закладкам (а вдруг ошибка в браузере — исполнение кода, что тогда?). Потому только
А это вообще возможно ли, не считая упомянутых ошибок в коде браузера (в таком случае считывание букмарков может показаться минимальным ущербом)? Если можно ссылку на примеры по "вычитыванию" букмарков.
Так надо разобраться в механизме такого "распознавания закладчиков", а потом решать насколько это серьёзно и как это оключать.
Доступ к букмаркам, клипборду — такие уязвимости в браузерах были. На сайте: на некоторых одно время была популярна на самой веб-странице кнопка "добавить в закладки".
В общем, последнее время извращался/испражнялся с тем, чтобы при запуске TBB поменять настройки в TB, "натравив" его на системный Tor.
Как уже писал раньше, теперь TBB под прозрачно торифицированным юзером запускается не сразу (сначала происходил фейл, потом надо закрыть видалию и запустить снова), ну а потом убиваю найух видалию и юзерский тор.
Но это еще полбеды. Когда чистишь браузер и меняешь цепочки, приходиться сначала давать команду New Identety (которая не может менять цепочки системного тора), а затем выполнять pkill -1 tor от рута (или через sudo с полномочиями рута).
Только что обнаружил такое: когда пытаешься заюзать New Identity, TBB начинает ругаться, что не может поменять цепочки:
Раньше такого не было (и с этой версией TBB). Не понял, что произошло?
Я понимаю, что разрабы могли прикрутить этот лай, но ведь только что оно так не работало. TBB стало самообновляемым чтоли?
Позднее для вин планировались автоапдейты. Но пока точно ничего такого нет.
Не сам бандл целиком, но по умолчанию браузер самостоятельно обновляет расширения. Недавно как раз новый торбаттон нарисовался.
Разве сам TorButton не блокирует по умолчанию загрузку обновлений?
Нет, есть запрет дизайна на загрузку с не аутентичных источников через тор для нужд браузера. Но поскольку в настоящее время известных ошибок в коде браузера не известно и загрузка расширений производится через тор с проверкой аутентичности содержимого, то загрузка обновлений для расширений в TBB (и торбаттоном в частности) не блокируется.
Гыгы, в TBB (в мозилле тббшной) в нстройках add-ons установлено по дефолту автообновление. Вот уж не догадался бы, что параноики на такое способны!
Сам я раньше всегда настравивал FF изначально, чтобы он у меня спрашивал, обновлять или нет
И где там такая настройка есть? При загрузке обновлений самого браузера оно может спрашивать, а вот где вопросы про обновление адд-онов?
Tools — Add-ons — вверху возле строки поиска значок настроек, по нему щёлкнуть и выпадает меню. В меню по умолчанию кажется действительно стоит галка "Update Add-ons automatically".
Обратил внимание: если не стояла галка "апдейтить дополнения автоматически", то после перераспаковки архива с новой версией TBB (связки), версия TB (кнопки) не поменялась. При выборе "искать обновления дополнений" нашлось и предложилось поменять TB. Если автоапдейт дополнений включён — то версия всегда новая. М.б. действительно, TB может апдейтиться независимо от TBB?
unknown, давайте вернёмся к обсуждениям.
Если запукать непосредственно, не знаю какая конфигурация firefox запускается (хотя она работает), но луковицы сверху нет. Меня это смущает, потому решил так не делать.
Не берусь судить, что есть в спеках, но я спокойно запустил TB через дважды заторенное соединение (прозрачная торификация на внешнем рутере + собственный Tor из TB). Ждать, конечно, пришлось, но явно не 10 минут: может быть, минуты 2 — не больше. Да, я согласен, что это тормозит, но один раз можно дождаться финального запуска браузера с видалей и прочими интерфейсными окошечками, чтобы потом их правильно отредактировать.
Ввиду мной выше сказанного, я не вижу в этом необходимости. После того, как TBB через двойное заворачивание в Tor запустился, идём в сетевые настройки Tor'а (в firefox), выбираем пункт «Transparent Torification (Requires custom transproxy or Tor router)», после чего TBB начинает работать напрямую через внешний Tor-рутер. В настройках видалии есть пункт о том, какие приложения надо запускать при старте — я убрал там галочку с Tor'а, чтобы внутренний Tor от TBB не запускался (не знаю, поможет ли это, ещё не проверял).
P.ک: Одним словом, всё совсем не так плохо, так что о чём здесь мы с вами говорили на 7ми страницах — это вопрос :) Или Tor-разработчики только недавно всё починили?
Разработчики похоже также зашли в тупик и не смогли реализовать простой способ сделать тор отдельным пакетом вне состава связки. Может допилят тему с подключением по разным портам, чтобы было несколько разных управляющих портов, так чтобы это всё работало из коробки.
К сожалению, не помогает: при старте видалия ничего не запускает кроме своего окошка, пока не скомандуешь запустить Tor. И вот только запустив свой Tor, она запускает браузер (которому этот Tor, естественно, совершенно не нужен — там transparent proxy). Больше похоже на обычный баг, чем на фичу: не продумали согласованность настроек для такого случая. Впрочем, запуск внутреннего Tor'а (завёрнутого в Tor прозрачной торификацией) быстро происходит, потому неудобство скорее косметическое.
А зачем нужна аутентификация на внешнем Tor'е? Не проще ли отключить Control Port? Он всё равно интересен скорей как фича для дебага.
Дык рутером всё равно надо откуда-то управлять. Создаёте дополнительного доверенного юзера, который может туда логиниться по ssh и всё делать. Тот юзер, которого торифицируем, не сможет туда залогиниться — прав не хватит.
При чём здесь сбрасывание цепочек? Если вы про то эта опция отключает запуск Tor'а, идущего в поставке с TBB.
Замечание совершенно верное. Если нужен ещё один профиль, то делаем ещё один тунель до рутера, на котором поднимаем ещё одну прозрачную торификацию. В этом[link26] примере даны, кстати, настройки для случая двух прозрачных торификаций, но разделение идёт по физически разным сетям1, а не по разным «аутентификациям», хотя и последнее, в принципе, делается2. Другой подход — никогда не пользоваться обоими профилями одновременно: каждый раз сбрасывать все настройки3 и переподнимать Tor заново, когда нужно переключиться на другой профиль (хотя как по мне, это костыль).
Дело не в способе4, а в том, чтобы это работало, не привнося дополнительного профилирования — так будет точнее.
Да, было бы не плохо. Раз в альфе есть[link27], то имеется надежда, что допилят. С другой стороны, я бы на такой механизм в серьёзных случаях полагаться б не советовал. Даже из общих соображений понятно, что если надо разделить нечто на две нескоррелированных части (и так сделать можно), то всё должно быть разное5 — это будет надёжней.
1Т.е. нам понадобились бы разные компьютеры за Tor-рутером.
2Проблема здесь будет в том, что один юзер на машине должен ходить в интернет через один gateway, а другой — через другой, и никогда иначе. Разные gateway'и привязываем к разным туннелям до рутера. Через виртуалки это решается проще всего, но можно и без них[link28] (iproute2+iptables).
3Не забывайте, что при переключении надо так же сбросить и состояния (state) в файерволле — уже существующие состояния не убиваются изменением правил. В BSD для этого есть pfctl -k source или pfctl -k source -k dest. Автоматизированного убивания всех стейтов вроде бы нет (хотя можно написать скрипт).
4Так уже было ранее, и это работало, они просто сломали.
5И ОС другая (виртуалка), и Tor другой, и пользователь, под которым это работает, и даже внутренние конфиги в $HOME.
Я организовал запуск TBB через отдельную группу, вывод трафика всей группы напрямую в сеть и прозрачную торификацию всех не-TBB соединений пользователя. Так, как это описано здесь[link29].
Возможно, с точки зрения ваших потребностей (модели угрозы) в этом полно недостатков (например, от гипотетической уязвимости в TBB такие настройки файрвола не защитят). Но зато для меня лично минимум телодвижений и есть свои плюсы: можно элементарно использовать профили с разными TBB и торами (у каждого будет своя статистика, гвард-узлы и т.д.); при щелчке на значок "Use new identity" будут сбрасываться тор-соединения (цепочки) и параметры браузера только для конкретного TBB. Меня такое решение устраивает, поэтому я пока что потерял интерес к теме.
У меня просто через "дважды заторенное" соединение статистика выкачивается, и я потом переключаюсь на системный Tor.
Если правда не работать на компе несколько дней, это статистика может долго выкачиваться. А когда работаешь – достаточно быстро.
Поэтому я лично пока для себя предпочел это "кривое" решение, но позволяющее защититься фаерволом.
Ну а что касается разных профилей одновременно – интерес в этой реализации есть, но на практике несколько сложных сетевых работ (проектов) осуществлять одновременно всегда сложно. И всегда можно ошибиться и перепутать.
Поэтому я лично обычно делаю не одновременно.
Есть идея сделать глобальный проект-инструкцию, где всё будет: и виртуалки, и Xen, и прозрачная торификация, и отрицаемость шифрования и прочее. Думаю, unknown'у и предыдущему Гостю это будет небезыинтересно. На данном этапе уже понятны все детали (кроме одной) на уровне концепта, так что вопрос остаётся скорее технический: собрать, протестировать, описать в инструкциях. Но поскольку это слишком глобально и сложно, времени на это уйдёт много, так что не скоро появится. В планах это стоит, поскольку никуда от такого решения не деться (всё остальное — лишь полумеры), а потому будет реализовано сразу же, как дойдут руки.
ke-ke, уже не 13 'апостолов'[link30]
Сначала Майк Перри это понял, а теперь еще и парочка ребят с головного – дала дёру. Разумные люди всегда чуют нехорошие тенденции
Шалом хомячье! ZOGпроджект продолжает надувать мыльный пузырь.
расщирение torbutton это по сути дело атавизм, как и http прокси, торпроект будет сам компилить свой браузер с готовыми настройками
Продукт оупенсорс,соберите сами ручками,какие проблемы то?
отличный аргумент))) а смысл? если все логи в конечном итоги стекаются на их материнский корабль.
владеющий информацией в наш век, это пострашней терориста с ядреным чемоданчиком)))
Что там говорить, конечно несерьёзная организация. До сих пор, даже не удосуживаются, снабдить свой продукт цифровой подписью. Заставляют карячиться с этими убогими, левыми ключами (один дурак подпишет, другой не подпишет).
->В топку и сверху бензином!
Они все как были там, так и остались[link31]. Сейчас новых набирают. Дополнительно, а не вместо.
анонимусы владеют страшной тайной ZOGa, не иначе!
не иначе...
Писал как-то в их блог, и под влиянием последних тем с пгпрушечки, на полном серьёзе, чуть было не отправил: "Dear Zogproject!"
В последней версии торбраузера
опять всё сломалиуже не работает: траф всё равно нахально рутится в локальный торбраузеровский тор. Более того, выбрав эту опцию и нажав на Apply, приходится очень долго ждать, пока окно настроек закроется.Проблема решается настройкой на работу через внешний Tor как внешний socks-прокси. Наверно, так даже безопасней, в каком-то смысле. Прозрачную торификацию на сервере можно оставить, если нужно ещё какие-то программы выпускать, но если только браузер или другие, без труда проксифицируемые, то смысла нет — проще всюду прокси указывать. Может быть, оно и к лучшему.
P.S. Ждём новой версии торбраузера, где изменение дефолтно проставляемого адреса socks-прокси будет всё ломать. Пока счёт 1:0.
Не знаю, идёт ли речь об уязвимости в Tor Browser, но меня, как минимум, однажды, оно уже защитило[link32]. В связи с этим возникает вопрос: при скачке файла всегда всплывает окно с выбором «сохранить на диск» или «открыть, используя приложение» (выбирается из списка). Почему в Tor Browser не отключен второй пункт? Чтобы легче было эксплуатировать уязвимости в просмотрщиках файлов и/или пользовательских настройках? Почему бы не принудить всех сначала скачать файл, а уже потом пусть они сами открывают его чем хотят, осознавая весь риск этих действий (в особых случаях — предварительно отключив интернет[link33], например). Всё из-за пресловутого юзерского удобства и дружелюбности к пользователю? Имхо, это серьёзный риск.
/comment48825[link34]: unknown, правила DROP не нужны (и, вообще, выглядит как-то грязно), т.к. всё, что нужно запретить, должно быть запрещено по умолчанию. К тому же, анализировать небольшое число только разрешающих правил проще, чем и разрешающие и запрещающие вместе. Последовательные запрещения-затычки через DROP выглядят как[link35] «Problem → Proposed solution → Deanon! → Revised Solution with new DROP rule... → Implement → Deanon! → ... → ad infinitum». Не знаю, как официально называется критика такого подхода, но вот это[link36] похоже на то:
Вдогонку: почему 53ий порт забанен по tcp? Вдруг какая-то guard-нода решит работать на 53ем порту? Насколько я знаю, ограничений по портам на Tor-ноды нет.
Чуть лучше такой вариант[link38].
Это так для пользователя tornet_user или $ANONYMOUS_UID по ссылке. Глобальные настройки файрволла "запретить всё" вне контекста анонимного пользователя здесь не рассматриваются принципиально. Это личное дело каждого.
Группа tbb-tor — это половинчатое решение. Она беспрепятственно выводит наружу весь трафик от TBB. В случае уязвимости в FF это будет и деанонимизирующий трафик. Единственно, что можно — это не пускать трафик на определённые порты (например DNS) и блокировать не-TCP протоколы. Это помогло защититься от случайных утечек в браузере такого вида[link39].
Но поскольку разделить внутри группы сам FF и Tor невозможно (они оба запускаются видалией и поэтому будут иметь одну группу), пришлось пойти на такой компромисс.
Здесь нет возможности составить неущербное правило, поскольку защищаемое приложение в этом отношении ущербно. Если это сказать в мягкой формулировке, то разработчики с этим соглашаются и предлагают разрабатывать решения[link40]. "Спонсор Z" даже выделяет финансирование под это дело, а Роджер намекает на оплату (правда вероятно кому-то одному — как главному исполнителю, представителю или организатору).
Если не путаю, то DNS возможен и по tcp (хотя на практике это редко используется), поэтому во избежания утечек через этот порт лучше его заблокировать и обойтись без гипотетической возможности соединяться с такими входящими узлами.
Казалось бы, надо делать как наоборот: запретить всё вне контекста анонимного пользователя, а потом написать «теперь добавляйте отдельные разрешающие правила
на свой страх и рискдля остального, что вам нужно в системе (помимо выхода анонимного пользователя в Tor), тщательно их анализируя». Иначе в чём смысле контроля на уровне firewall'а? Программы/юзеры, имеющие доступ в сеть, должны быть известны администратору поимённо, как и права доступа к этой сети.А чем хуже такое[link41] компромиссное решение? Статистика через двойное заворачивание в Tor выкачивается довольно быстро, если Tor используется регулярно.
По ссылке речь идёт об ограничении функционала Tor Browser средствами SeLinux, что слишком далеко (и намного сложнее) от простой ручной заглушки «закрыть firewall'ом». Последняя в час X способна защитить от непосредственной утечки IP при любой узявимости, более слабой, чем local root.
Есть, если воспользоваться тем, как сделал Гость в /comment52149[link41].
Unknown, вы перестаёте быть главным параноиком форума, разве так можно?
Читаю я этот топик и не врубаюсь, чем не подходит решение, одобренное аж Mike Perry?
http://comments.gmane.org/gman.....ork.tor.general/2853[link42]
Тем, что Майка Перри траблы вот такого рода[link32] не интересуют как класс. Некоторые пользователи с таким положением дел не согласны, а потому пытаются выработать приемлемое решение. Короче говоря, любая экспуатируемая узявимость в firefox из TBB (не путать с самим Tor) или программах, работающих под торифицированным юзером, — и «здравствуй, деанон!» сразу.
это справедливо во всех случаях? и при прозрачной торификации и на уровне приложений?
Дело не в прозрачной торификации, а в закрытии firewall`ом пакетов, идущих напрямую в сеть от торифицированного пользователя. Firewall потенциально позволяет обезопасить оба случая [как «прозрачную торификацию», так и «уровень приложений » (просто прокси)], но для этого нужно, чтобы Firefox из Tor Browser Bundle работал через Tor, запущенный под другим юзером (тогда firewall сможет надёжно фильтровать пакеты по принадлежности пользователю). В текущих же сборках сделали такую гадость, что TBB категорически отказывается нормально работать через чужой Tor (не тот, что в связке). Соответственно, приходится изобретать костыли: например, ждать, пока запустится внутренний Tor, выкачав статистику через дважды заторенное соединение (иначе браузер просто не запускается скриптом), а потом переключаться на внешний Tor в настройках TBB (раньше было достаточно указать «использовать прозрачную торификацию», теперь — руками указать IP:порт внешнего Tor`а).
Какой-то поток бреда...Вас решение по ссылке выше чем конкретно не устраивает и вынуждает красноглазить так, как здесь на 9 страницах предлагают?
Нахрена? Использовать сразу "--no-remоte -profile ..." религия не позволяет?
Расскажите нам, как технически сделать Только учтите сразу, что пользователь Tor — системный (соответствует записи tor:*:XXXX:XXXX:Torifier:/var/chroot/tor:/sbin/nologin) и запускать программы от чужого пользователя может только root. Более того, лишняя дыра в виде видалии для контроля используемого Tor`а тоже не нужна (в нами предлагаемом решении её нет).
весь комент копировать не буду..
а что мешает взять обычный FF и настроить его, как это делают разработчики Тор? и не придется ждать запуска связанной Видалии. в чем проблема то??
Если вас это по каким-то причинам не устраивает, есть sudo.
Ну исключите ее из вашего конкретного решения, какие проблемы опять же?
Навесить tor button поверх обычного firefox? Не получится. Для анонимности нужны вещи, которые на уровне примочки в виде tor button не реализовать. Потому приходится использовать специальный браузер. Но, беда, он не идёт отдельно, а только в связке с видалией и своим внутренним Tor`ом. Обсуждалось в /comment48273[link43] и было у нас в новостях (ссылку быстро не нашёл). Если кто-то не следит за темой и ресурсом, а потом приходит через пол года с претензиями «я ничего не понял», это его проблемы. Я уже задолбался гуглить и тыкать в ранее бывшие ссылки и обсуждения (их ещё и читать не хотят).
«Развязать» связку не получается. Напишите инструкцию (и протестите решение) о том, что и как поменять в start-tor-browser-скроипте, чтобы всё снова могло работать отдельно — мы с удовольствием ознакомимся.
Как? См. выше.
Как со стенкой разговариваю. Вам привели ссылку на решение. Вы не понимать по-англицке? Чайник в никсах? Ну так и скажите и вежливо попросите перевести или объяснить. То, что вам легче тридцать три раза заворачивать тор в тор и гневно писать о том, что разработчики все поломали – ваши проблемы, лично я в таком случае свое время тратить на объяснения не буду.
Нет, переводить не надо, а вот объяснить можно, а то в упор не вижу связи между вашей ссылкой и задачей из /comment53277[link44].
Рут с графическими приложениями? Или sudo с ними? No way[link45].
Есть группа net, которой разрешен выход в инет. Есть юзер tor, который входит в группу net.
В vidalia.conf убираем опцию загрузки браузера, запускаем
sudo -u tor start-tor-browser
ИЛИ скачиваем стэндалон Tor и запускаем Tor:
sudo -u tor tor
ИЛИ...ИЛИ...короче, Tor запустился и работает
Запускаем браузер из TBB, к примеру, от обычного рабочего юзера, которому доступ к сети запрещен
/path/to/TB/App/Firefox/firefox --no-remote -profile /path/to/TB/Data/profile
Настраиваем TorButton соответствии с тем, как запустился Tor. Еще возможно надо с xhost поиграться.
Хотя прозрачная торификация вообще всего траффика (или траффика определенного юзера/группы) – зло. В Tails к счастью это поняли, правда совсем недавно.
Как всё просто оказывается. А мы тут с unknown'ом, дураки, целых 10 страниц не понятно что обсуждали.
Запустить системный Tor проблемой не было никогда. Дело только в том, как к нему привязаться в софте, который к нему привязываться не хочет.
Вот это уже интересней. Тоже так пытался, но не взлетело. Сколько ни экспериментировал, какие бы настройки в TorButton (и просто сети в firefox) ни менял, а результат всё тот же: firefox, таким образом запущенный, категорически отказывается работать с сетью: запускается с выключенным torbutton, после чего этот torbutton никак не включить. Может, в самых последних версиях уже исправили, я не проверял. Скорее всего, где-то сделали типа защиту от дурака, которую не так легко обойти. Можете этот пункт подробнее описать: где и что меняете в настройках firefox/torbutton после такого запуска?
С этим согласен[link46]:
Можно, конечно, под отдельным юзером с отдельными иксами запустить start-tor-browser, а потом пытаться натравить на него TBB-firefox из-под другого юзера (и в других иксах). Даже если не говорить о том, как плохо видалии много позволять, основной затык остаётся в том, что
Так а я о чем...
Если юзер скомпрометирован и имеет доступ наружу, то зловредный код, запущенный от юзера, тоже будет иметь доступ наружу, о чем тут вообще рассуждать.
Если скомпрометирован пользователь, которому разрешено пользоваться sudo, то вас уже ничего не спасет.
Нужно запустить Tor на 127.0.0.1:9050, запустить браузер и указать в торбатоне, где у вас тор висит. У меня так вообще отмечер "Использовать рекомендуемые параметры прокси" и все работает. Если tor и бразуер запускаются с разных пользователей, повторяю, возможно нужно смотреть в сторону xhost.
С xhost уже начинали[link47], были предупреждения[link48] и epic fail[link49]. Я бы не стал xhost советовать.
Вы путаете вещи. Предполагалось, что
- Юзер может быть скомпрометирован.
- Юзер не имеет непосредственного доступа наружу (только через Tor/proxy).
Тогда настройки firewall`а, оказывается, спасают (поскольку оный умеет фильтровать трафик по юзерам), т.е. не позволяют юзеру соединиться с каким-либо хостом в интернете в обход Tor (соединяться с произвольным хостом имеет право только тот юзер, от которого запущен демон tor`а, а обычный «заторенный» пользователь, работающий в Tor`е, не может получить привелегии юзера, из-под которого запущем демон, зато может им пользоваться как транспортом своего трафика).Я прописывал внешний IP из локальной сети, т.к. Tor был запущен на рутере (другой машине). Если TBB-Firefox запущен из видалии, это даже работало. Если же firefox запущен напрямую, то не работало (за исключением, возможно, фикса в последних версиях, которые я не тестировал). К «рекомендуемым параметрам» (по классификации интерфейса torbutton) такая настройка точно не относится.
Нет, ну без включения мозга вообще к вопросам безопасности не стоит подходить. 30 секунд гугления по теме xhost выдадут десять ссылок, где жирными выделениями будет написано "To disable the access control type xhost + which allows any host to access your X server. You probaly don’t want to do this because it allows the world to open windows on your screen and grab the keystrokes you type". Еще 2 минуты приведут, к примеру, сюда[link50] и все сразу станет ясно, даже без штудирования (весьма убогого, кстати) мана.
По юзерам я уже потерялся, о каких именно пользователях идет речь, но это в общем не важно в контексте темы "как запустить браузер отдельно от Tor", в чем, как я понял главный затык у вас.
И зачем? Если вы подрубились к роутеру, на котором работает Tor, то ваша галка – Прозрачная торификация.
При включении мозга первым делом отказываются от самых небезопасных механизов в системе: от sudo, от su, от gksu, от xhost, от суидности, от запуска недоверенных прог под иксами с довереннм юзером, от управления системой из-под заторенного юзера и т.д, тем более, что это (при правильной настройке) не влечёт за собой весомых неудобств. Во всяком случае, как вы сами же написали, (и xhost это тоже касается). В этом треде как раз обсуждается попытка решить проблему защиты (потенциально) скомпрометированного юзера от деанонимизации.
Мне кажется, разжёвываю так, что понятно должно быть даже виндузятнику.
Да, можно так сказать. Однако, это не отрицает мной вышесказанного про кучу небезопасных решений, которые вы здесь напредлагали.
Затем, что недавно сломали[link51] — это раз, и что так безопасней[link52] — два. Вы тред решили принципиально не читать?
так в чем же суть (!) зла? с какой версии Tails разработчик учел данный вывод?
ну не совсем :-))
В том, что неумелое пользование прозрачной торификацией для всего и вся ведёт[link53] к профилированию. Впрочем, многие считают, что это не настолько страшно.
То-то я смотрю тут 10 страниц – это одни восклицания про то, как приятно и удобно работать.
А доказательство тому – какой-то
дурачокнеопытный пользователь, который расшарил иксы на весь инет, потому чтотупойне подумал, прежде чем действовать? Ну тогда, действительно, вы правы. Следующий левел, я так понимаю, – это wget и lynx.Ладно, не буду разводить оффтопик, я вам все сказал, что хотел.
В том, что не всем приложениям, запущенным от данного юзера, необходимо предоставлять возможность передачи информации по-умолчанию.
0.10[link54]
Подробнее раскрыто в /comment51733[link55], /comment51825[link56] и /comment51958[link57].
Приятность и удобство не стоит приносить в жертву безопасности. Распаковать TBB в директорию и запустить скрипт ещё проще, только ни для чего серьёзного в плане анонимности не годится.
Команда
дурачокнеопытный пользователь, который расшарил иксы на весь инет, потому чтотупойне подумал, прежде чем действовать?Не подменяйте аргумент. Выше было написано Для решения этой задачи xhost и разновидности sudo не подходят принципиально, о чём вам явно и было указано. Более того, вы с этим даже согласились.
P.S.: Если вы не принимаете максиму «при прочих равных, чем система проще, тем безопасней», то нам будет трудно найти общий язык. За указание на то, что у вас в некоторых конфигурациях TBB-firefox запускается без видалии и работает корректно — спасибо, это интересная деталь. Остальное, к сожалению, конструктива в рамках обсуждаемой задачи не привносит.
Ну ты за всех-то не говори!
Сейчас unknown прийдёт, он
тебе даст!за всех скажет.В тикетах где-то лежит старый подробный совет с коментариями Роджера, как подружить Видалию с системным тором. И вроде даже при использовании new identity будет состояние цепочек сбрасываться.
Во-первых у меня не получилось. Ну не осилил, хотя не особо и старался. Потому что (и во-вторых) там есть ряд недостатков:
Третий пункт — это претензия на некую концепцию (гибкость в выборе анонимности; выбор компромисса между удобством и безопасностью по своим потребностям). Пока проще всего она реализуется параллельным запуском иксов и настройками файрволла. И лучше эта концепция пока будет работать в ущербном виде (обеспечивая уровень безопасности лучше, чем голый TBB, но худший, по сравнению с полностью закрученными гайками), потому что отказываться от неё ради большей анонимности не хочется. Это рабочий прототип. Дальше интересно было бы навесить SELinux, но тут у меня стопор, что как раз так презираемый многими sudo будет поддерживать SELinux только в Debian/Wheezy, который пока нестабилен. А без sudo не получиться гибко менять контексты безопасности и использовать преимущества подхода с разделением по пользователям и SELinux-ролям и правилами файрвола одновременно. Дальше интересно поэкпериментировать с LXC (заведомо неполноценным и обеспечивающим ничтожно малый уровень безопасности при сравнении с реальными виртуалками, но более перспективный при связке с SELinux) .
Но всё это откладывается и растягивается на годы — по мере того, как будет совершенствоваться нужный софт, его можно будет включать в использование, а не довольствоваться пусть и более безопасными, но заведомо некрасивывми решениями (двойное заворачивание с перезапуском тора, сплошное заворачивание гаек в ущерб гибкости), работающими "здесь и сейчас" без перспективы. Паранойя — хорошо, но экспериментирование с заделом на будущее — интереснее.
Наконец, вместо того, чтобы очень много городить, можно ожидать появления улучшений в самом софте. Возможно, простой патч для TBB-тора и TBB-браузера помог бы им запускаться с разными системными группами. Это бы приняли в проект и проблема с файрволлом была бы решена. В альфа-версии тора уже (?) есть (возможно неполноценная) поддержка соединений по нескольким разным портам для прозрачной торификации одновременно. Для каждого порта в идеале мог бы быть свой пользователь. Один демон тора предоставлял бы ему персонально своё состояние гвардов и цепочек (вроде так и хотели сделать, но есть какие-то нюансы). И здесь есть поле и для сочетания гибкости и максимы "чем система проще, тем безопаснее".
Готовый SELinux-модуль для TBB тоже был бы интересен. Если бы его поддерживал проект, то всем остальным не нужно было бы его никак настраивать (хотя и переменные для настроек можно было бы включить). Гипотетический преднастроенный LXC-контейнер для TBB, управляемый специальным модулем был бы ещё интереснее. Возможны какие-то другие технологии. Возможно никто так их никогда и не реализует, не хватит скиллов ни у волонтёров торпроджекта, ни у местной публики.
Но как-то не хочется и делать некрасивые, хотя и практичные решения, выкручиваясь из того, что есть и умеем, представляя, как скорее всего должно быть правильно.
Естественно. Третий уровень — специальные цели. Это когда в пользу безопасности можно принести любое неудобство. Если же нужный для этого уровень безопасности недостижим, то лучше вообще не работать с такими вещами, чем постоянно подвергать себя риску.
Я понял ключевое отличие себя от unknown`а: меня интересуют только 2 типа настроек:
- Минимальная безопасность (TBB искаропки)
- Максимальная (все гайки должны быть закручены).
А unknown`а — первые два их 3 возможных:- Минимальная безопасность (TBB искаропки)
- Средняя безопасность (компромисс безопасности и удобства).
- Максимальная (все гайки должны быть закручены).
Потому мой 2ой тип никак не отображается на unknown`овский 2ой (и наоборот). Что интересно, раньше (в доTBB-эру) гайки можно было закрутить, потому 2 и 3 по unknown'у соответствовали почти идентичным настройкам. Да, пора вводить поправку на современность классификации.Лично для меня «средняя безопасность» — как
защита от средней сестрыни рыба, ни мясо: с одной стороны — нужны шаги по настройке (из коробки не заработает), с другой стороны — серьёзно на неё положиться всё равно будет нельзя. Возможно, я максималист в духе «раз настраивать, так делать сразуна веканадёжно, а иначе и городить костыли вокруг не стоит». Собственно, шаги по пункту 3 — последовательная реализация пункта[link58]Очень в этом сомневаюсь. Так или иначе, Tor должен запускать root, а давать root`а/sudo в потенциально скомпрометированного пользователя не умно. Если же разные части связки (TBB) можно будет запускать из-под разных иксов/консолей, это уже не будет единой связкой, это эквивалентно способу независимого запуска компонентов.
Если риск связывания 2ух профилей в один реально критичен, я бы никогда не пользовался такой фичей — только по отдельному tor-демону на каждого юзера (+ контроль firewall`а за портами). Впрочем, как компромисс безопасности и удобства — вполне себе фича.
Интересен, но firewall он не заменит. Ну будет какое-то готовое решение в духе «вот вам чёрный ящик, он работает как надо, верьте нам». А если что-то потом боком выйдет, разведут руками и скажут «ну извините, ошибочка вышла». Если кому-то действительно вдруг нужна высокая степень анонимности, он на такое полагаться не будет. По сравнению с собственноручно настроенным firewall`ом на выходе в интернет, где в реальном времени можно видеть, что происходит (pftop -s1), это не впечатляет. Лично у меня доверия к правилам iptables/pf`у будет в любом случае больше*, чем к чьим-то кустарным правилам SeLinux, которыми будет пользоваться несколько единиц в мире.
*Как программы, эти firewall`ы достаточно хорошо протестированы сообществом.
Пишу я тут не часто, мое личное мнение: вероятность того, что найдут косяки в торе на порядки выше результатов даже максимального упорства в обеспечении безопасности софтверными способами. Время и нервы, потраченные на создание извращенных костылей типа тора-в-торе-в-торе и прочее красноглазие, лучше (=эффективнее) потратить на дополнительное железо (3г-свисток на левые данные, например) и возвращение к реальности. И разработчики правильно делают, что мягко так игнорируют и посылают куда подальше просьбы "продвинутых" пользователей: эти просьбы никогда не закончатся, а толку все равно будет 0, если новомодными и супербезопасными фичами не будут пользоваться. Кстати говоря, даже если случится чудо, в случае глобальной утечки именно вы будете выделяться как не подверженные ее влиянию.
Я это пишу собственно не для шизанутых, а для нормальных людей, которые читают эти
1011 страниц фантасмагории и думают, что они идиоты. На меня вдруг снизошло откровение! Нет! Это не мы тупые, это просто местные параноики е....тые :)Со всем уважением...
Вот кстати да, кому нужен "третий уровень" анонимности пусть лучше раскошелиться на дополнительный недорогой компьютер, благо ему не надо быть мощьным. А если у вас нету лишних $200, зачем вам такая суровая анонимность? :)
Зачем дополнительный компьютер? Кулхацкерский подход в духе "одноразовое использование в случайном кафе, потом ноутбук
проглотилсъел"?Так уже и так 2 компа: один основной, другой рутер. Куда больше-то?
Чтобы не чувствовать себя идиотом, надо быть в теме, читать все посты, во всех ветках, много лет. Ходить по ссылкам, вникать, что пишут другие. Разбираться с Unixом. Тогда всё будет ОК. Все начинали с нуля, не вы первый.
Я понимаю прекрасно, что есть такой синдром: чувствуя своё незнание, надо его как-то оправдать. Проще всего сказать, что виноград-то зелёный[link59].
Ага. Ко всем типа бубон приедет, а ко мне нет. Печали не будет конца и края из-за такого "профилирования".
Те, кто в теме, знают, что за последние 5 лет разных деанонов на программном уровне было масса. Для затравки: раз[link60], два[link61], три[link62], четыре[link39], пять[link32]. Нужны ещё аргументы? Самые умные сделали выводы ещё в 2007-2008ом после эпического фейла с оперой и недокументированными функциями, а остальные до сих пор дожидаются непонятно чего. Можете продолжать успокаивать себя и дальше в духе "ну меня-то это уж точно не коснётся".
Не обязательно быть в курсе всего, вычитывать весь местный форум, включая специфические темы и быть каким-то фанатиком. Не секта параноиков.
Тема не для того, чтобы посоревноваться в уровне красноглазия и костылестроения. Для тех, кто или хочет выжать результат по максимуму ("закрутить все гайки"), или поэкспериментировать. Кому не надо, так и не надо. Лично я не пользуюсь всем, что предлагаю.
Результат в идеале опять же должен быть не каким-то талмудическим знанием, непонятным непосвящённым и непросвящённым, а простой воспроизводимой инструкцией, которую каждый мог бы докрутить в меру своих потребностей. Поэтому лучше несколько вариантов — простой, посложнее, навороченный, более гибкий, более предопределённый и т.д. Не забывая про принцип неразличимости профилей и пр.
А если нужен не третий, а промежуточный 2.5, причём несколько независимых профилей-пользователей? Из под одного что-то скачать-отправить, перекинуть скачанное на другой профиль, использованный профиль стереть? Десяток компов держать?
Что-то такое наблюдается у криминала, хацкеров и пр. Даже Дж. Ассандж и его коллеги рассказывали про бесконечную смену комьютеров, мобильников, кредиток, адресов. Им некогда заниматься тонкими настройками, у них есть деньги на решение проблемы путём других издержек.
На торпроджекте тоже есть фанаты рутерного подхода и его противники. Тор висит на рутере, а коннектится всё к нему? А как из под разных пользователей работать одновременно? Или даже из под одного, но сбрасывать состояние тора по "new identity"? Скриптом через ssh вместо встроенного в TBB механизма? Как это делать, не используя sudo и прочие неудобные и потенциально небезопасные костыли?
Обнова торбраузера до Tor Browser_2.2.37-1, но firefox почемуто сдаунгредили до 10.0.5 :( Что за хренота Firefox ESR?
юзер-агент торбаттона теперь соответствует браузеру Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0
https://en.wikipedia.org/wiki/.....nded_Support_Release[link63]
Я прекрасно понимаю, о чем тут речь и выступаю резко против всего этого. Мое обращение было к тем, кто не понимает, чтоб они не боялись своего непонимания. С другой стороны, есть другой синдром: когда кончаются аргументы, оппонент всегда переходит на личности и начинает обзываться в духе "сам дурак", так что ваше высказывание показательно.
Это аргументы как раз против вашего подхода, когда используются нестандартные настройки и всякие оперы. Это в 3 ссылках из 5. Еще одна ведет на очередной бред параноика (ваш?), действительно относительно серьезна уязвимость с вебсокетами, но ее-то можно решить обычными неизощренными правилами iptables, для этого не нужно десять раз тор сам в себя заворачивать. Вот когда TB искаропки предоставит возможность 50%-100% деанона неким третьим лицам ввиду неважно чего (уязвимости, злонамеренного бэкдора и т.д.), тогда и порассуждаем о том, нужно было ли красноглазить до исступления или нет. Хотя я почему-то уверен, что случись такое, никакие ваши потуги себя обезопасить в духе "не пользоваться sudo и xhost!" вас не спасут.
Этим как раз вы занимаетесь. Практичные люди не надеются, что знают все на свете и лучше разработчиков, а решают потенциальные риски другими, более гибкими способами. У меня есть все основания полагать, что меня с моим подходом не найдут, а с вами случится нечто похожее[link64]. Тьфу-тьфу-тьфу, конечно.
Вот, кстати, подход uknown мне понятен: экспериментировать для зарядки мозгов вполне себе замечательно. Воспринимать же все это всерьез...ну вы поняли.
Да.
Несколько разных ssh -w делают тунельные интерфейсы на обоих концах tun{0,1,2...}, далее файерволл. Все туннели поднимаются под сторонним доверенным юзером, куда заториваемые зайти не могут. Можно и изящней. Это ad hoc решение, которое делается быстро и легко, но имеет свои минусы.
Зачем "new identity"? Никогда не пользуюсь. В крайнем случае можно выйти из TBB и снова его запустить или рестартнуть Tor. Всё, что не хочется линковать вместе, делается из-под разных юзеров, у которых разные торы.
Скрипт — это громко сказано. Но вообще, да. Можно и просто логиниться на рутере, если там монитор есть.
Вроде выше объяснил.
Чтобы ткнуть местный народ в нужные цитаты и ссылки, приходится очень много держать в голове: где, что, когда, в каких обстоятельствах обсуждалось и по какому поводу.
Тут на личности уже раз 10 мои оппоненты переходили. И дураками называли. И чего только не делали. Свою неправоту никто сам не признаёт, даже если натыкаешь как котёнка в его же собственные цитаты. Я ответил по существу, аргументацию описал, ссылки привёл. Всё более, чем понятно. А ваши аргументы — пустое балабольство, скорее смахивающее на троллинг.
Слепота принуждает вас видеть не то, что есть, а то, что потворствует вашей позиции. Это были вполне стандартные настройки, torbutton'а тогда ещё не было, не говоря уже о TBB. Инструкция по торификации оперы висела на официальном tor-сайте. И всё это детально обсуждалось на форуме после тех фейлов. Разработчики инструкций, как оказалось, сами были не в курсе некоторых даже задокументированных опций. Можно подумать, firefox по сравнению с оперой — такая простая и безопасная программа, что тут прокола и близко быть не может. «Не знать историю равносильно тому, чтобы всю жизнь оставаться ребёнком» — тут прям наглядно демонстрируете на себе этот принцип. Умным достаточно одной ошибки, чтобы осознать проблему, а дураки будут наступать на грабли 50%-100% (вас цитирую) раз. Только вот если деанон критичен, вторую ппытку наступить на грабли вам не дадут, по крайней мере в ближайшие несколько лет.
Если у вас в запасе тысяча жизней и возможность сохраняться сколько угодно раз, то да. Можете в 100% деанона играть и ждать когда за вами приедут, а у меня жизнь одна и опции сохранения нет.
Не не спасут, а уже спасли.
Нет, то был мой пост. А бред — ваш.
Слово "всё" для красного словца добавили? Не подменяйте тезис. Разработчики свою позицию озвучили. Их целевая аудитория — широкие массы. Как ранее написал unknown, они не считают, что отсутствие внезапного деанона у 1% пользователей как-то сгладят общую картину фейла, буде он случится. Только вот то, что фейл будет у всех, а не у вас одного, вряд ли вам что-то скрасит: каждый за себя будет отвечать.
Напоминаю, что изначально согласие unknown'а с уместностью всего этого подхода было[link57]:
Вы добавили в faq "простую воспроизводимую инструкцию" по прозрачной торификации. Кто ей воспользовался? За несколько лет, сколько она там лежит — 2-3 относительно опытных юниксоида, не боящиеся ни Linux'а, ни консоли. Да и те задали массу вопросов, пока у себя настроили. Я написал когда-то инструкцию по прозрачной торификаии через pf. Кто ей воспользовался? Ноль человек. Давайте начнём смотреть[link65] правде в глаза: На самом деле человек всё правильно и очень точно сказал.
Кто-то из торпроджекта ездил с популяризаторскими лекциями даже не на Ближний Восток, а как-бы в образованную Европу. И ещё в США принимал звонки. Это осенью прошлого года было, специальная программа с целью пообщаться с народом. Вот тогда на них прозрение и снизошло, как и для кого надо разрабатывать ПО.
Пользователи не знают, что такое IP-адрес. Вообще не представляют.
Некоторые не знают, что такое браузер. Они думают, что интернет — это иконка эксплорера на рабочем столе. Оказывается, они запускают тор, там появляется файрфокс, со страничкой, где написан какой-то непонятный адрес и понимают сообщение, что вы типа в торе и теперь ваш интернет анонимен. Но что-такое файрфокс они никогда не слышали (ну может краем уха). Поэтому они решают, что дальше, чтобы пользоваться анонимным интернетом надо запустить свой единственный и понятный эксплорер, а эту торовскую штуку оставить открытой на всякий случай, пусть анонимизирует. Вот так. Теперь её хоть торбраузером назвали для понятности.
При этом разработчики не против и усиленных решений для немногочисленных продвинутых пользователей и просят ими делиться, особено после последнего случая с утечкой DNS. Продвинутые пользователи могут также послужить и тестерами альфа и бета версий и первыми выявлять баги, пользуясь своими навороченными настройками (в свободное от ожидания пативена время).
Несколько оффтоп, но то, как они испохабили сайт torproject.org, очень показательно. Кнопку надо было сделать ещё раза в 3 больше, а всё остальное убрать совсем. Если на странице больше одной ссылки, пользователь может запутаться. Чтобы добраться до отдельного тора (сорсов) или чейнджлога теперь "опытным" приходится
проводить чудеса выкрутасов, продираясь через кучи менюшек, каждая из которых ни о чём не говоритискать нужную страницу с помощью гугла.Ситуация понятна. Остаётся только удивляться, почему Tor project озаботился анонимностью самых непосредственных и далёких от IT пользователей.
Теории заговоров... за арабскую весну наверно им хорошо платятЕсли заниматься анонимностью как наукой или технологией, опускаться до такого уровня не нужно. Да и пользователей, владеющих хотя бы азами IT, по всему миру вполне достаточно, чтобы составить спрос на Tor. Короче, анонимность для широких масс — какой-то нонсенс. Звучит, как нейрохирургия для чайников.вешаем вирт рутеры, для каждого пользователя свой. не пойдет такое решение?
зы на отдельной машине под кодовым названием "Тор рутер"
интересно, почему у нас считается, что для того чтобы пользоваться компьютером, нужно просто его купить.. какой процент пользователей купил и прочитал, хотя бы книжку для чайников? и то сплошь и рядом (( люди заканчиывают курсы, получают дипломы и не имеют не малейшего представление что такое персональный компьютер.
широкие массы могут создать широкую полосу информационного шума... может в этом есть рациональное звено?
поднял глаза, чтобы понять с чего здесь все это началось )) и прочитал:
а как-же прожект Tails? они то про это не знают и продолжают делать именно связку iceweasel + tor
Какой глупый и детский снобизм. Держу пари, что господин аноним не сможет самостоятельно сменить водопроводный кран, если тот потечёт. Или радиатор. А может замените газовый кран, а то как же вы им пользуетесь?
Проводку-то хотя бы сможете провести по квартире от щитка?
Найдёте причину, если машина сломается? А телевизор?
Что будете делать, если какай-нибудь железка в столько понятном вам компьютере внезапно откажет? Побежите в сервис?
То-то и оно.
прошу прощение за оффтоп.
обычно таким оппонентам, я рекомендую внимательно и вдумчиво перечитать сообщение. вместо того чтобы заниматься критиканством, подумайте что хотел сказать автор. многое из перечисленного могу и что это значит? с электричеством работать нужен не только допуск но и здравый смысл, могут пострадать жильцы дома из-за какой-либо ошибки. а ошибка может быть незначительная в рамках решаемой задачи. но дом сгорит. газ я ВАМ даже не советую самостоятельно ремонтировать, ситуация та же что с электричеством. если машина сломается можно попытаться и исправить, смотря какая поломка. не все ж в сервисах делается. или вам нужен помощник поменять колесо? в мою бытность еще на дорогах и бортировали и клеели камеры (представляете безкамерки были не всегда).. а вам слабо? и т.д. по пунктам. вопрос образования, интеллекта и желания что то решать в этой жизни.. а не болтать попусту.
есть понятие – среднее образование так вот это подразумевает умение как минимум писать и читать. если человек не умеет этого делать, в обществе люди высказывают недоумение по этому поводу. чем компьютерная грамотность отличается?
Речь о проводке от щитка (там где иногда ставят эл.счетчик и всегда индивидуальные автоматы защиты), в самом худшем случае закончится индивидуальным поражением тока. При неправильном выборе и монтаже проводки, ещё и последующим пожаром. Но остальные жильцы дома от непосредствено пропажи электричества не пострадают.
Вот это даже не столько рекомендация, а предупреждение. Условия эксплуатации газового оборудования категорически исключают вмешательство пользователя. Даже самостоятельное подключение оборудования после индивидуального крана (не говоря уж про ремонт его самого) не разрешено.
Мешать в кучу все случаи не надо. И персональный компьютер он потому и персональный, что проблемы у всех персональные.
Вот только не надо про интернет, ботнеты, и милионы зараженых машин, которые дидосят и спамят всех остальных. Это скорей вариант с эл.проводкой, монтаж которой осуществил электрик с лицензией, но вот сам провод оказался с браком бай дезайн. Соседи по сети (жильцы дома) пострадают не от работы установщика, а от пожара (дидосы).
Для того, что-бы технология могла быть популярной (а для анонимности это необходимое условие), нужна встреча результатов усилий в двух направлениях: образовательном (формирование среднего уровня образованности) и технологическом (адаптация технологии до среднего уровня образованности). Небольшой группе энтузиастов, если она не имеет влияния на министерство образования или центральные СМИ, эффективнее прилагать усилия на втором направлении.
Несколько бит, требуемых для прохождения каждого уровня достатояно большого (автоматически генерируемого) меню – вот вам и стойкое шифроывние! А формально – открытые исходники. :)
Хорошо, но менее безопасно[link66], чем на отдельной (физически) машине.
Есть, есть, но это тривиальный момент, который, к тому же, уже много раз на форуме обсуждался[link67]. Сейчас речь идёи как раз об обратной стороне медали.
Tails — LiveCD, т.е. специализированное и не всем подходящее решение by design. Tails официально признаётся Tor Project'ом на уровне того, что упоминание о нём есть на сайте (как и некие рекомендации для его использования), но это всё же сторонний проект, в отличие от того же TBB.
Что[link68], опять?[link69] © Обсуждали же уже почему компьютер — не стиральная машинка[link70], и не раз.
Пояснение: вывод надо делать не «потому нужно полностью положиться на специалистов и умолчания», а «работа с компьютером неминуемо требует наличия квалификации пользователя, тем более для таких специализированных задач, как вопросы анонимности».
В самолёте тоже есть автопилот, но за штурвал не сажают домохозяек, а сажают специально обученных людей. Так же и с компьютером: любой может ткнуть по ссылке, скачать и запустить программу, но как я не сел бы в самолёт под управлением домохозяйки, несмотря на весь «пользовательский интерфейс», так бы я не стал полагаться и на анонимность «скачал, запустил, что такое IP — не знаю».
P.S.: когда скачиваешь TBB и запускаешь, ты сам себе пилот. И если квалификации нет, риск фейла высок.
Враньё, не требует. Есть такой термин как интуитивно-понятный пользовательский интерфейс.
Мы про анонимность не говорили, изначально гость наехал вообще на всех «чайников». В случае специфичных запросов, кто ж спорит, надо самому изучать и разбираться. Или платить специалисту.
У меня, к примеру, стаж работы в *nix более 5 лет, но я никогда не позволю себе проявлять снобизм в вопросах компьютерной грамотности, просто потому что сам не разбираюсь в других областях, которыми, однако, пользуюсь. Вы и гость выше можете долго разводить демагогию/утешать себя, что всё знаете и умете, но в случае проблемы с чем-нибудь некомпьютерным, побежите в сервис, где мастер над вами вдоволь посмеётся (если захочет, конечно) с вашими нубскими вопросами. Во всём разбираться невозможно, и ваше среднее образование нисколько не поможет изучить специфичный вопрос за полдня.
Господин spinore, какой смысл давать на каждый чих сотни ссылок? Неужели для вас неочевиден тот факт, что общение в рамках одной, пусть и большой темы, так или иначе будет ходить по кругу? Кстати, они ведут на одну и ту же тему и даже почти на одну и ту же страницу.
А вообще, проявлять такой снобизм в основном склонны юноши с максимализмом, которые сами не очень-то во всём разбираются, но выглядеть «круче» сверстников хочется.
Ещё забыл один момент. Всё знать даже в рамках своей узкой области почти невозможно. Поэтому человечество придумало абстракции. Прикладной программист для веба не обязан знать ассемблер, а системный программист скорее всего не знает опкоды процессора, под который он пишет код на C.
Вот вы знаете, что такое IP, хорошо. А читали ли RFC по нему, по TCP, изучали реализацию TCP/IP-стека хотя бы в вашей операционной системе? Это ведь тоже относится к анонимности — вдруг там дырка какая, вдруг где абстракция протекает? Неужели надеетесь на других?
Хотя вы же сами признавались, что даже исходный код не читаете, доверяете другим.
Которому обучаются несколько месяцев/лет (особенно, если компьютер имеется только в иституте или на работе), начиная с того, как делать двойной щелчок мышью и кончая тем, как убить зависшее окно. Сам всё это проходил, помню. Если требуется навык борьбы с глюками ворда или экселя, то он через года приходит (а я до сих пор не умею). Для простых людей есть компьютерные курсы, и это совсем не пара занятий. Если же требуется делать что-то более умное, чем использовать компьютер как игровую приставку или печатную машинку, то тут вообще «туши свет». Например, умение составлять эффективные поисковые запросы далеко не самое лёгкое.
> Мы про анонимность не говорили, изначально гость наехал вообще на всех «чайников».
Всё-таки тема эта про анонимность. Точнее, про Tor с продвинутыми настройками по безопасности, что как бы сразу намекает на «для тех, кто в теме и совсем не новоначальный: ни в плане Tor, ни в плане Unix». Один из гостей нам хотел вежливо[link71] и без снобизма[link72] сказать, что он всё понимает (о чём идёт речь в комментариях), но считает это сущим бредом. Это должно было быть месседжем остальным читателям, которые не понимают: типа, это и не надо понимать, т.к. смысла во всём это нет, проблема высосана из пальца. Вроде бы с этой аргументацией мы разобрались[link73],
контраргументов не последовало, потому в ответ в /comment53316[link74] Гость воспользовался самым веским финальным аргументом[link75]. И что теперь? Вы теперь повторяете тот же аргумент, но в другой форме:> я никогда не позволю себе проявлять снобизм
> вообще, проявлять такой снобизм в основном склонны юноши с максимализмом
Да, наверное, мои посты полны снобизма: /comment53318[link76], /comment53320[link77]. А то, что подавляющее большинство всех новичковых постов отвечены[link78] мной — совсем крайний снобизм. Нам википедия намекает[link79], что У нас тут дискуссия всё-таки профессиональная, потому давайте не будем до этого опускаться (поверьте, троллить и кидаться говном я умею не хуже вас), а то превращение технического топика в специальную олимпиаду — не лучший финал.
Чтобы аппелировать к чужому мнению, не повторять своё по сто раз и, в конечном счёте, не засорять сайт однотипными постами, а то будет переливание из пустого в порожнее. Я полагаю, что мои ссылки обычно достаточно релеватны...
Очевидно, но я не понял, к чему вы это сказали.
Ну это редкий случай, что так получилось. Вообще, народ гуглить не умеет, даёшь ссылку если, весь топик не читают, зато силы позиций хоть отбавляй. Приходится в буквальные слова и посты тыкать. Можно ещё ничего не писать, т.к. такая неэффективная борьба с троллингом сводится к соучастию в нём. Просто те, кто не знают, где правда, а где нет, для них что я напишу, что любой Гость, что unknown, что SATtva — всё это равнозначно. Скажут «на pgpru.com такое написано», типа никто не возражает, значит все согласны*. Читатели будут получать ложную информацию в духе того, чем забиты кулхацкерские ресурсы: VPN'ы, гаранты, смены ноутбуков, анонимность в wifi-кафе и т.д. Если бы я вёл себя более потребительски, на pgpru можно было бы вообще ничего не писать — мне от ответов на тривиальные вопросы знаний не много прибывает, одна трата времени. Единственное косвенное возмещение — раз больше популярность, больше и абсолютное число интересных тем/постов и выше вероятность, что кто-то ещё начнёт писать.
Мне как-то казалось, что когда говорят о правилах firewall`а, это автоматически подразумевает защиту от потенциальной компрометации используемого софта, но вот, вижу, не всем это очевидно. А зачем ещё правила firewall`а навешивать? Прозрачная торификация как просто техническое удобство в том плане, что не надо прокси каждой программе указывать?
Конечно, всегда можно копнуть глубже, везде где-то есть пределы, но это не значит, что надо опускать планку требуемого до нуля. Это ничего не опровергает[link80].
Ну есть такие вопросы, но они совсем не средние[link81]. Всё-таки общие навыки работы с информацией оказываются полезными практически во всём. Одно время назад меня попросили купить струны для скрипки. За пол дня была получена полная классификация разных типов струн, масса отзывов пользователей, плюсы и минусы, pdf-файлы на английском с характеристикой, составом и ценами, более-менее полная картина того, что есть. И тут я предоставляю эту информацию меня попросившим, а они разевают рот и не знают, что сказать. Что струны бывают разные, они не в курсе, какой у них состав — никогда не интересовались, английский язык — нулевой, потому файлы со спецификацией на струны им ничего не говорит (а я не скрипач ни разу). Зато есть компьютер, интернет и, конечно, же высокая активность во вконтакте. Как профессиональный музыкант мог никогда в жизни ничего не гуглить про струны, и даже не интересоваться этим, для меня осталось загадкой.
Ну и что касается мастеров, скажу кратко: не надо меня этим пугать. Многое из того, на что можно было бы вызвать мастера, я делал сам, предпочитая почитать пол часа в интернете и знать про это лучше мастера (и даже врача, увы). Ну и поскольку я с 10 лет подрабатывал на стройке и вырос в деревне, мне сейчас очень трудно вспомнить, какую работу мне ещё ни разу в жизни не приходилось делать. Во всяком случае, проводку я делал самостоятельно, как и ремонт несложных бытовых приборов, типа утюгов. Выросшим в городе, это не понять, но в деревнях принято, что хозяйство близко к натуральному, потому все умеют делать всё. Я даже хлеб в детстве пёк и корову с козой целый год доил. В те 90ые времена когда шли в гости, нам могли живого петуха в сумке отдать в качестве подарка «на поесть», а до состояния супа мы его самостоятельно превращали. Вам не понять :)
А вы знаете, с какой стороны доят корову (правой или левой) и почему?
*С топиком Eridan'а такое уже было: тыкают в него и говорят «вот, на pgpru.com это советуют». Мало кто будет читать комментарии к топику, разбираться с тем, что это открытая площадка, любой может развивать документы, и слепо всему верить не стоит.
Развод на троллинг и оффтоп можно считать официально удачно свершившимся, увы.
На эту тему есть хорошая статья Спольского (про течку абстракций и почему они, абстракции, в реальной жизни часто не работают). Вот оригинал[link82], а вот перевод[link83]. Мораль в том, для критически важных вещей (анонимность к ним относится) верить абстракциям небезопасно. Фукусима всем передаёт привет (там тоже следовали инструкциям, но в инструкциях есть не всё и не на все случаи жизни, голову ничто не заменит).
Не смешно на самом деле. Вот лёгки на помине: знай я стек и как он организован на уровне Linux-ядра, я б не совершил вот этой[link84] фатальной ошибки (думал по аналогии с BSD: раз в iptables ничего про ipv6 нет, значит он заблокирован. PF же регулирует оба трафа (ipv4 и ipv6) в одном конфиге). Фейл[link85] с ICMP — в ту же копилку. Вот как пользователям можно не знать, что icmp всегда посылается от рута, а ping суидный? Вполне критично для нарушения анонимности. Как говорится, волей-неволей приходится вылезать за пределы GUIшных настроек и GUIшных абстракий. Даже если взять чистую криптографию, но в прикладном аспекте, сразу же выясняется, что оная часто «ломается» на физическом уровне: начиная с side-channel attacks и кончая рандомным изменением бит за счет облучения — получается, что даже базовой электроникой и физикой нельзя пренебрегать, если что-то серьёзное на кону стоит.
Предание говорит (сам не проверял), что Митник попался на банальном TEMPEST.[троллинг]
/comment53356[link86]:
Тыц.[link87] Краткое содержание: самолет разбился из-за того, что командир доверился
Tor Browser'уавтопилоту (ну и ошибся вначале, а автопилот это многократно усугубил).[/троллинг]
Какой-то очень тупой троллинг, ибо автор камента говорил о страховке другими способами – дополнительным железом и прочим. Подводя это под вышеприведенную аналогию, пилот должен был принять во внимание показания автопилота, авиадиспетчера, штурмана, своих глаз и мозга, иметь многомиллионную страховку, психотерапевта и авдоката, три запасных парашюта и надеть шапочку из фольги, штоб
ZOGинопланетяне моск не зохавали.Вспоминайте[link88] :)
Это я к тому, что нынешнее человечество живёт не только в деревне, но если так и дальше пойдёт, то в результате катастроф, вызванных массовой некомпетентностью, принявшей системный характер, рискует там оказаться в будущем...
Самоненазванный Spinore, ваши аргументы понятны, но скатились до уровня житейского философствования.
Непотребительский подход к жизни, возможность что-то делать и думать самостоятельно, интеллектуальное саморазвитие — это теперь такая форма социального дауншифтерства, роскошь позволить себе не быть богатым или занятым зарабатыванием и удержанием избыточных денег и прочих материальных/социальных благ.
Такие люди в небольшом количестве есть, всегда были и будут при любом обществе/строе, так что вы не уникальны и свою жизненную позицию можете подробно не разъяснять. Те, кому это не близко, не поймут вашу позицию как сознательный выбор и будут сравнивать с подростком-максималистом, у которого нет возможностей заняться
зарабатыванием бабла и прочего блаблабласоциальной реализацией в материально-денежном исчислении.Покупка струн порадовала — знакомо. Стремление сделать что-то самому тоже. Даже, если есть деньги на получение в готовом виде и экономия не критична. Возможность потратить своё время на то, чтобы сделать самому — это прекрасно, когда есть масса свободного времени.
Надо писать отдельные wiki-доки с привязкой к своему авторству (репутации псевдонима) как тот же Eridan. Более или менее законченные по форме доки можно критиковать предметно, а высказывания в форуме вообще ни к чему не обязывают, особенно сделанные от анонима по принципу "важна мысль, а не авторство". Плюсы-то в таком подходе есть, как инструменте для свободной дискуссии, но тут же и минусы вылезают. С другой стороны — времени чаще всего на создание развёрнутых доков нет. А если тема, поднятая кем-то в доке не интересна, то нет и комментариев к ней.
Должен же кто-то упорядочивать информацию. Например, помнить и уметь искать даже мои старые комменты лучше меня самого.
Гость (14/06/2012 09:10)[link89]
Если на каждом уровне можно определить продвинулись мы к цели или нет — то нестойкое. Это как перебор ключа шифра не грубой силой целиком, а по частям, с возможностью проверить верность части битов, а не всего ключа.
Почему-то фильтрация по UID/GID считается в плане безопасности ненадёжной. Более того, когда кто-то разработал аналог для фильтрации по контекстам и ролям SELinux, ему заявили тоже самое и для ролей (но не меток) SELinux и он согласился!
Сказал, что проект будет продолжаться только для удобства использования, но на него не стоит полагаться для безопасности. Для безопасности нужно использовать метки SECMARK, задаваемые модулями SELinux, и вот только эти метки якобы безопасные для обработки файрволлом. Но роли и контексты SELinux, которые закручены пожёстче, чем просто Unix-права, как-то можно обойти при передаче пакетов, хотя это намного сложнее, чем UID/GID.
Уровень аргументации я не понял, частично полагаюсь на авторитет относительно известных мне разработчиков. Обсуждения взяты из рассылок и блогов, эту тему мне сейчас не найти. К сожалению, я не так строг со ссылками, как spinore и если свое мнение составлено так, что к чему-то утрачен интерес, то и исходные материалы забываются.
Ну, во-первых удобство, да (для spinore это на последнем месте, понятно :-) ). Во-вторых, понятие анонимности шире, чем абсолютный максимум. Иногда нужно пустить через тор что-то, что хотя бы не видел бы свой провайдер (для него пользователь будет большинство времени сидеть в торе, непонятно в какое время чем занимаясь — затруднение анализа трафика), и неважно, что это увидит исходящий узел. Например, ssh, получение почты через pop3s, не-веб-сервисы со скрытых ресурсов и пр., что так просто через прокси с тором не согласовать, а различимость профиля на том конце не слишком критична.
Наконец, завинчивание гаек до абсолютного максимума тоже может быть доведением до абсурда. В отличие от криптографии (а там тоже есть, куда копнуть глубже, но не будем в этой теме), анонимность носит далеко не абсолютный характер. Он такой же вероятностный, но вероятность остаться анонимным принципиально намного меньше и труднее поддаётся оценке (это не плоское равномерное распределение). В сети Tor пока не более 2500-3000 узлов из них 1200 исходящих. Даже запустив небольшую группу злонамеренных узлов можно насобирать достаточно корреляций[link90] для сбора сведений. И это просто пассивный анализ, это не активные атаки.
Если Tor (как почти любой другой протокол обеспечения анонимности в сетях связи с прямой коммутацией, без броадкастов) не обеспечивает абсолютной анонимности в принципе ("do not rely on it for stronge anonimity"), причём, чем чаще пользователь использует один и тот же ресурс, тем выше вероятность его раскрытия, то логично использовать его для критичных вещей чрезвычайно редко. Зато для повседневных и не особо важных — как можно чаще, чтобы важное затерялось на этом фоне и анализ трафика был бы затруднён. Для этой же цели у разработчиков служат принципы массовости, лёгкости использования и различия интересов (diversity). Чтобы не было так, что каждый второй там прячет что-то важное, а наоборот — большинство было бы не представляющими особого интереса чуть продвинутыми пользователями и тратить ресурсы на просеивание информации по всему тору было бы невыгодно по сравнению с открытым интернетом. Такой вот компромисс между принципом Керхгоффса и принципом медведя[link91].
Я всё же ещё раз приведу ссылку на этот[link66] черновик. Там рассмотрены 4 уровня защиты. То, что (как мне казалось) пытаются выработать в этом топике, соответствует инструкциям для достижения 2го уровня из 4ёх. SeLinux там не обсуждается, но если уж и добавлять, то вряд ли его стоит рассматривать более серьёзным, чем 4ый уровень (скорее, в интеграле он, может быть, чуть лучше, чем 3ий). Если совсем коротко, то возможность подмены UID/GID близко к local root, который на 2ом уровень заведомо исключается, как возможность. То, что защита на 2ом ≠ защите на 4ом — должно быть тривиально понятно, но к чему этот аргумент? Это подобно тому, как пользователь может сказать, что он заведомо исключает возможность ТРК. А может наоборот искать способы защиты[link92] от него. Но если защиты нет, то не значит, что криптография бессмыслена (так же и с анонимностью). Главное, что когда явно оговорены границы, не стоит за них выходить.
Полностью согласен, и сам этим пользуюсь. Просто у меня пока нет времени на настройку по уму, мне хватает и куда более простого варианта — под номером 1[link93]. Там никаких firewall'ов нет.
Согласен.
Для ssh это corkscrew[link94] + privoxy + Tor, хотя и proxychains хватает.
Вообще, хотелось сказать совсем другое. Вот ещё несколько примеров: Одному[link95] пользователю понадобилось поменять шланг в душе (общежитие). Я был очень удивлён тому, что он, несмотря на то, что по жизни никогда не выполнял работу руками (хоть на каком-то уровне), идёт в магазин, покупает гаечный ключ, шланг и меняет. Руководству общежития настолько наплевать, что надеяться на техников не приходится — делают так, что ломается через 30 секунд использования. Или вот ещё пример: Жиль ван Аш[link96]. Он не администратор и не программист ни разу. Пришёл к нам в отдел, поставил всем на десктопы убунту, сделал сервер для группы, сайт... с тех пор всё и работает, хотя уметь администрировать и настраивать эти вещи — не компетенция криптографов (хоть классических, хоть квантовых) ни разу. Это всё несмотря на благополучный западный универ, где техники есть. Не далее как позавчера сломалась местная wifi-точка: опять же местные её и ремонтировали, своими силами. Я на старших курсах воспринимал компьютер и его железо как чёрный ящик, но не боялся учиться, запоминать, что говорят другие, вникать, когда они помогали ремонтировать системный блок. Потом это знание в жизни помогло. Среди толковых людей как-то принято вникать во всё и интересоваться всем, просто иначе не выжить. И, так или иначе, через несколько лет почти все знают почти всё базовое. И можете не верить, но есть такая корреляция: если человек может прокинуть ssh-тунель, он и аналитику по задаче может провести (в наших кругах), а если не знает что такое ssh-ключи, то и учёный он хреновый. И всё это предельно очевидно: если человек работает над собой и расширяет кругозор, то он и в профессиональном плане растёт, и на периферии не отстаёт, а если он говорит «вот моя абстракция, и дальше я лезть и интересоваться не буду», то быстро выбывает и теряет компетенцию даже в том малом, что должен бы иметь по роду деятельности. И всё это подтверждается, несмотря на профессии: программист, учёный, администратор, музыкант... Если человек толковый, он почему-то толковый во всём, ему можно поручить любую задачу и знать, что он её эпично не зафейлит. А если он в каких-то базовых повседневно нужных навыках сильно проседает, то он и своё собственное дело не знает. Можете не соглашаться и не верить, но по моему опыту корреляция очень высокая (хотя и не 100%). И касается она всего: хорошие технари почему-то таки знают русский язык и не делают совсем глупых ошибок (вопреки расхожему мнению), почему-то не курят, почему-то читают толковые сайты и книги, а не вконтакты и анекдоты в сети (на уровне интересов чётко прослеживается). Опять же, не 100%-корреляция, но она видна. Не хотелось опускаться до таких расхожих обывательских фраз, но иначе намёк публике не понятен. И снобизм тут ни при чём, да. Я тоже когда-то пришёл на pgpru новичком, а SATtva объяснял мне азы, и я не боялся учиться новому и вникать в то, как работает Tor и Unix.
Бывают управленцы, бизнесмены, организаторы. И более негативные проявления такого рода таланта (аферисты и др.). У них "талант" заработать денег на готовое и купить; достать что-то редкое; организовать, чтобы что-то было сделано. Пока, условно говоря, вы собственноручно прикручиваете кран, они заработают денег на дворец и яхту с тысячей золотых кранов и обслугой, фигурально выражаясь. Для них делать самому — неспортивно, это потеря своего времени, которое они тратят на зарабатывание денег. И это не единственный пример. Могут быть разные стратегии поведения, выбора целей, определения потребностей, нельзя сказать, что среди них есть единственно правильная, которая у утверждающего обычно является его собственной. Иначе получается Cognitive bias[link97], чем возможно многие здесь (как впрочем и повсюду) грешат при изложении своих аргументов, что и приводит к взаимному непониманию. И является благодатной почвой для троллинга.
А torsocks для ssh и вообще не катит?
Ну почему, просто мне не довелось им пользоваться (потому вводите поправку на вероятную ахинею ниже). Как я понял, torsocks — аналог proxychains, но, возможно, чем-то более узкий, но чем-то, может быть, и более универсальный по сравнению с proxychains. Просто proxychains — это простая обёртка, которая подменяет собой[link98] библиотечные вызовы, так что наглое приложение может смело на это класть болт и лезть в сеть напрямую. Есть другой способ торификации/соксификации — использовать не переопределение команды всюду (типа proxychains ssh вместо просто ssh), а штатно указать настройки прокси в конфиге. В каких-то случаях последний способ может оказаться более удобным и универсальным. Т.е. torsocks и proxychains — это принудительная торификация, а corkscrew (через промежуточную http-прокси) — штатная.
Вот полный список[link99], есть над чем задуматься, да :)
а с AdvOR присутствующие знакомы?
Пример некорректный.
Хорошо, я верю, что господин spinore умеет гуглить и пользоваться википедией. Нагуглил какие бывают материалы струн, их состав, отлично. Я вроде и не спорил с тем, что у нас сейчас википедия хорошо развита (кстати, это приносит одновременно и некоторые неудобства: полно неучей, которые пролистав статью, тут же пытаются спорить на тему, нисколько не разбираясь в матчасти). Ну а если понадобится что-нибудь сложнее энциклопедической выписки? Скажем, вот ваш же пример с гомологической алгеброй. Нужно не скопипастить формулы из вики, а понять. Тут уж без фундаментального образования никак. Или вам нужно не подобрать струны, а научиться играть на скрипке хотя бы простенькие этюды. Или разобраться в реализации злосчастного стэка, не имея при этом как навыков программирования вообще, так и не зная системных ЯП, протоколов, ядра на нижнем уровне и прочее, прочее. Или починить не утюг, а телевизор. Или банально научиться работать в *nix. Можно долго приводить примеры, надеюсь мысль понятна. На изучении основ нужной темы уйдут годы и никак не ускорить, хоть обложись виками, гуглями и книгами.
Весь словесный поток комментировать не буду, уж извините, не соперник вам в графомании. Примеры про деревню, вам не понять — детский сад. Предлагаю господину spinore самому нагуглить соответствующие статьи в лукоморье, на которое он так любит ссылаться.
Особенно повеселило как spinore даёт ссылку на статью Спольски и разъясняет её мораль после того, как я сам же упомянул про протекающие абстракции. Про ссылки из этой же степи. Упорядовачивание — хорошо. Но делать это каждый раз с таким видом, будто тема полностью исчерпана, — снобизм завсегдатая, ей-богу. Будто кроме spinore никто поиском пользоваться не умеет.
Пример с медициной: самолечение плохо, но во многих случаях возможно, хотя бы согласовать с врачом свои изыскания не мешает. А вот самому себе ставить диагноз в большинстве случаев бесполезно. Даже не очень квалифицированный врач поставит диагноз точнее, чем непрофессионал, "подбирающий струны".
Частично[link100] :)
Ну извините, если кому-то так показалось. Намерения показывать исчерпаемость не было, цель ссылок — упрощение и конструктивизация дискуссии. С другой стороны, если кто-то явно ошибается, то вступает принцип «он мне друг, но истина дороже». Подозреваю, что Гости мысленно приписали мне тут некоторые посты, которые не я писал — это раз. Мне тоже не везде ясно, что писал один Гость, а что другой — два. Если на кого-то навешивают то, под чем он не подписывался, тоже нехорошо получается.
unknown, пример с медициной — замечательный. Простой и понятный. Даже если вы умеете лечить самостоятельно простуду, в случае пулевого ранения без доктора не обойдётесь.
Мир, к сожалению, настолько сложный, что даже в пределах одной науки невозможно знать всё. Особенно плачевные результаты, насколько я знаю, в математике и физике сейчас наблюдаются. А тут пытаются одним гуглем все вопросы решить. Эрудированность положительное качество, но что в целом полезнее для прогресса — разбираться во всём по чуть-чуть или сделать открытие в своей очень узкой области?
AdvOR программа может заворачивать в Тор как запущенные процессы, так и программы через песочницу.
ps тут упомянули о proxychains
Может быть, позже к ней и появится доверие... но пока тихо.
Изначально аргумент стоял про простые вещи (на уровне утюга или починить протекающий кран). Конечно, я не буду спорить, что для сложных вещей всё обстоит именно так, как вы описали. В проблеме нахождения ссылок на pgpru.com, кстати, гугл сам по себе не сильно поможет. Здесь важнее помнить, что обсуждалось, а что нет (а могло обсуждаться несколько лет назад и совершенно не понятно по какому поводу и в каком контексте). Приходится вспоминать контекст, перебирать слова, пользуясь нетривиальными эвристиками и спецификой индексации pgpru.com в гугле. Какие-то термины могли быть написаны по русски, какие-то — в транслите или по английски. Если не иметь чутья, как они могли быть написаны, нужный пост не нагуглить. Иногда приходится делать десятки запросов к гуглу [как к оракулу :)], постепенно уточняя слова для поиска. Вообще, по методам «как нагуглить древний пост на pgpru.com, когда уже ничего не помнишь» можно отдельную мини-статью написать.
Была как-то проблема (дерматология), идёшь к врачу. Он, не делая никаких анализов, выслушивает, визуально смотрит и через 5 минут выдаёт рецепт. Типа, идите, пользуйтесь, через месяц можете прийти снова. Через месяц, естественно, ничего не проходит. Проблему надо решать, иду к другому врачу, уже в другой стране и с другим менталитетом. Всё повторяется, только объём рецепта и средств растёт. Снова никаких анализов и куча экстраполяций. В конце концов, меня это задалбывает, я снова иду, уже в другую клинику и требую анализов. Они, выслушав мою историю, разводят руками, делают простейшие анализы, не имеющие отношения к делу (типа сифилса), и таки соглашаются дать направление в центральный КВД. Там тётка, умудрённая опытом, кандидат наук, качает головой, говорит всё, что она думает о моих предыдущих врачах и сразу предварительно ставит диагноз. Дальше идут формальные анализы, которые потом гипотезу
подтверждаютне противоречат. Итог: неинфекционно и неизлечимо, смритесь и живите с этим. После такого негативного опыта, когда я повторно столкнулся с дерамтологией, я трезво оценил, что очереди на приём, потеря часов на ожидание и дорогу, оплата врача и т.д. — мне дешевле будет пол дня погуглить и самому разобраться что есть, как есть и чем лечить. Так была, например, однажды самодиагностирована и вылечена чесотка. И я уверяю вас, я пока гуглил, из интернета узнал о ней больше, чем среднестатистический врач. Знакомые, учащиеся на биологических и медицинских специальностях потом мне сказали в голос: врач ценен только тем, что у него есть аппаратура провести анализы. Как их интерпретировать, они сами не очень-то знают. У нас (да и за бугром), извините, развал во всём. Теоретически — да, каждый должен знать своё дело. Сферический физик в вакууме должен уметь решать уравнения Лапласа в неизвращённой геометрии или вычислять интегралы. Реальный физик обычно этого не умеет. Те, кто действительно знают свою профессию — единицы. В медицине — то же самое. Экстраполируя то, что знали мои сокурсники по математике/физике на медицину (а у нас был рейтинговый вуз, первые места по всем классификациям), я б сказал что ни в жисть к ним лечиться не пошёл, будь они медиками. Главная мораль — не кидаться в крайности, но и голову на плечах иметь. То, что я пишу, обычно снимается не с потолка, а, увы, опыт наступания на грабли. Конечно, хороший медик — это хорошо, если знаешь, по знакомству. Но, как мне сказали местные про итальянскую медицину, «идти лечить зубы или просто к фиг знает какому врачу наобум» — это часто подписывать себе приговор. Те же студенты-биологи и фармацевты с соседних факультетов, ходили к ним максимум за анализами. Всё остальное — голова и гугл.Ну хорошо. Если кто-то придёт в эту тему за поиском полезной информации, то обращайтесь к spinore. Он у нас может отыскать любую информацию на фоне информационного шума не хуже гугла с искусственным интеллектом. И создаёт этот шум не хуже случайного оракула.
Простота вещей понятие относительное – простые для кого? Если вам просто, почему вы думаете, что и всем остальным тоже?
И вот поэтому важно, КТО говорит. ;)
"Усложнять просто, упрощать сложно."
В текущую версию тора внесли интересные опции, которы были впервые внесены в альфа-версию ещё осенью 2011.
Теперь SOCKSPort, DNSPort и TransPort можно задавать в конфиге множество раз. Всех прозрачно торифицированных пользователей можно разнести файрволлом по разным портам. Пользователь на каждом порту получит свои цепочки.
Более того, поскольку это развитие прозрачной торификации предназначено изначально не для торбраузера, а для экспериментов с другими программами, то на каждую опцию определены ещё и политики. Две из них по умолчанию включены, их можно (но нежелательно) отключить, а можно включить дополнительные.
Даже из-под одного пользователя возможно будут запускаться одновременно несколько програм, поэтому нежелательно их связывание в одну цепочку. Для этого и предназначены политики. Дополнительно можно развязать цепочки при обращении по одному адресу, порту, протоколу.
Так что, хотя бы в порядке эксперимента с непараноидальными настройками, можно попробовать сначала связать несколько разных пользователей на общий системный тор-демон по разным портам и политикам. А затем можно попробовать повесить на него и разные торбраузеры.
Если локальные эксплойты не самая пугающая для вас угроза, то можно порадоваться тому, что правильное смешивание всех потоков одним демоном может потенциально давать больше статистической неразличимости между несколькими одновременно работающими пользователями.
Но проблема опять в том, что системный тор и тор в TBB различаются и опираются на разные версии OpenSSL.
Ну вот как, как такое может быть?! Неужели трудно вовремя обновлять системный Tor? Или правки, вносимые в TBB-Tor считаются некритичными для системного?
это вы о каком Торе говорите?
0.2.3.x ветку.
посмотрел конфиг последней альфы для винды, но что не увидел упоминание о DNSPort и TransPort. на офсайте есть как настраивать?
попробовал ввести второй порт – не сохраняется. только меняется номер порта.
Так и есть. Когда что-то критичное они одновременно обновляются. Но в браузерном обновления чаще и он менее стабильный. В браузерном также своя версия OpenSSL вместо системной. Возможно это позволяет различать на входящих узлах (менее вероятно, что на исходящих) трафик пользователя, порождённый TBB и системным тором.
v. 0.2.3.17-beta почему-то вышла под Linux вместо стабильного релиза с предупреждением о возможной куче ошибок.
Manual соответствует пока этому[link101], см. про соотв. опции.
Если не работает, то нужно перед перезапуском остановить тор из TBB: он настроен автоматически садиться на свободный порт и может помешать системному тору, который должен запускаться раньше.Дело похоже в том, что /etc/init.d/tor stop не работает и нужно убить процесс явно: возможно действительно какие-то баги, надо разбираться.
Можно расклонировать в конфиге на нужное число портов SOCKSPort, TransPort, DNSPort.
Опцию SockListen Address нужно убрать как устаревшую.
Если не работает /etc/init.d/tor restart из комм. строки или ещё какие глюки, то в конфиге явно прописать:
Кое-что полезное есть здесь[link102]. См. Tor Browser behind a transparent proxy or TorBOX в разделе manually. Это позволяет избавиться от видалии и локального тора и использовать Tor Browser с прозрачной торификацией, идущей хоть на системный тор, хоть на внешний роутер.
Если теперь повесить разных пользователей на разные слушающие порты системного тора, то можно и браузеры запускать одновременно.
Теперь осталось выяснить как использовать use new identity через Tor Button и открытый управляющий порт и повлияет ли она только на текущий порт или на все подключения по разным портам (что хуже).
Кое какие идеи, но с необходимостью использовать видалию могут быть здесь[link103] и здесь[link104].
Там описано то, как уже обсуждалось в /comment52079[link105], за исключением того, что теперь можно запустить TorBrowser без двойного заворачивания на самом старте (вопрос скорее технического удобства). Потом опцию «Transparent Torification (Requires custom transproxy or Tor router)» сломали[link51]. Дураку ясно, что работать она должна. Вот и вики пишет, что должна. Можно надеяться, что или её починили, или разработчики хотя бы согласны с тем, что она должна бы работать, как предполагалось.
Меня удивляет, что в настройках TBB до сих пор имеются все те десятки опций, регламентирующие использование TorBrowser'а без Tor. Изначально был TorButton, который позволял, как примочка, сделать «более безопасный» из стандартного firefox. Предполагалось, что пользователи будут по желанию переключаться между анонимным и неанонимным режимами. С тех пор утекло много воды, но до сих пор все эти опции по переходу в режим «Non-Tor» остались в настройках. Зачем они там? Неужто кто-то будет целево использовать специально предназначенный для Tor'а браузер в неанонимном режиме?
Несмотря на warning, там написанный, всё ещё осталась инфа про оперу:
Неужели они не знают, что такие настройки штатно обходятся, причём это — RFC[link106]? И как после этого можно доверять остальному из trac.torproject.org?
offtop: Удивительно, как принципиальный spinore использует проприетарную оперу. При том, что у неё всего пара процентов пользователей по миру и нет поддержки torproject.
Ontop: Opera для Tor использовалась последний раз года 3 назад. Переходу на firefox в том числе способствовало появление TorButton'а. Всё это никак не отменяет вышесказанного про оперу.
Offop: Несмотря на то, что давно пользуюсь firefox, пункт 2[link107] бесит до сих пор, не могу к такому поведению привыкнуть. В плане чисто юзабилити искаропки опера (по крайней мере была) шустрее и логичней firefox'а. Со временем весь софт скатывается в комбайнеры, полные говнофич, интерактивности и свистелок, пользоваться которыми нереально.
Хотелось бы и без встроенного тора тогда уж, разм ожно на системном торе открыть много разных портов для разных пользователей. Хотелось бы это отладить для локальной прозрачной торификации, перенсти системный тор на отдельный роутер, а клиентов в виртуалки принципиально будет несложно.
Так исправьте, там формат wiki.
Ошибку ту, в опере (10) давно переработали. И даже добавили, наконец (в 11 версии), сокс прокси. Если реализовали без ошибок с поддержкой днс, то можно даже пользоваться.
Так было бы лучше, да. Просто для меня лишние потроха (не только TorBrowser, но и свой Tor и Vidalia) на стороне торифицируемого пользователя — чисто техническое и непринципиальное неудобство, т.к., так или иначе, защита полагается (должна полагаться) не на то, что находится у юзера в его $HOME. А вот то, что TorBrowser и Vidalia (а, следовательно, и иксы) нужны для системного юзера, от которого будет запущен Tor — это куда больший риск (именно на его безопасность завязана анонимность).
Рекомендации сворачивать TorBrowser в трей от TorProject wiki повеселили. Интересно, что бы они сказали про Tor-сервера: их тоже рекомендовано запускать на рутерах с иксами и гномами, рулить мышкой в менюшках?
Спасибо за информацию. Впрочем, Opera для анонимности не годится по понятным причинам в любом случае, т.к. излишнее профилирование.
в Опере на уровне сокса не все так приятно. см логи Видалии.
прости не понял, а как еще можно запустить? есть несистемные юзеры?
unknown
можно у вас спросить, а чем конструктивно отличается обычный FF от FF в Tor Browser? разве нельзя настроить обычный FF так же как в Tor Browser?
TorProject его патчит на предмет антипрофилирующих функций и прочего, что апстрим не спешит принимать к себе. Собственно, форкали FF не от хорошей жизни.
Год спустя ещё один пользователь вышел из анабиоза. За последний год вообще много всего произошло, но если не читать сайт и не следить за проектом, можно очень легко отстать от паравоза: «В Tor Browser помещена экспериментальная защита от серьёзной статистической атаки»[link16].
Вы не поверите... раз[link108],два[link109], три[link110]. Предлагаю найти выражение «системный пользователь» в этих текстах самостоятельно.
Выше было написано, что этот тред — для тех, кто Unix изучил хотя бы на каком-то уровне и проблем с командной строкой не испытывает...
Не нужны. Или это продолжение описания текущей дефолтной ситуации с TBB? Часть приведённых мною ссылок исследуют вопрос прозрачной торификации для проекта TorBox — тор-роутер для чайников со своими заморочками, которые не следует переносить буквально. Часть материала в вики/FAQ/доках топроджекта устарела и неполна (также как и у нас на сайте).
Неопытные пользователи могут это сделать через видалию, но это больше актуально для массового распространения бриджей. Впрочем, большинство бриджей сейчас рекомендуется разворачивать из готовых образов в амазоновских облаках.
Большинство серверов скорее всего крутятся нормальным образом на unix-системах безо всяких иксов. Разработка системного тора для этой цели идёт неким отдельным направлением без таких компромиссов как в TBB.
Конкретно этим[link111].
P.S. Когда-то экспериментировал с этим[link6]. Не помогло. Может кто-нибудь поймёт лучше?
Это то, что написано по вашей[link102] ссылке, как один из вариантов (не самый лучший, естественно):
То, что выделено голубым — предельно изящно, любой понимающий впечатлится. Ладно бы ещё юзеры на форумах такое заметание мусора под ковёр предлагали, но проекту Tor должно бы быть стыдно от подобных инструкций. Они, как разработчики, могли бы предложить и лучшее решение, причём не параллельно к вышеописанному (как сейчас), а вместо него.
Практически это они и есть.
Это вики, которая не отражает официальную позицию проекта Tor. Там даже вредные советы публикуются.
Похоже, то что обсуждается здесь сейчас, обсуждалось нами в рассылке тогда[link112] и с безуспешным результатом. Где-то в тикетах остался ещё один совет по объединению TBB с системным тором и обещание Майка по написанию инструкции. Перерыл сайт гуглом — на нашёл.
от пользователя g_oster
А Вы старую опцию SOCKSListenAddress в /etc/torrc закомментировали?
unknown, а как грамотно расфаерволить разные sock-порты по разным юзерам? Уже есть какие-то рабочие правила? Может, FAQ дополните?
Если запрещено всё (icmp, ipv6, а также весь посторонний траф), кроме того, что явно нужно разрешить, достаточно добавить правила наподобие следующих:
FAQ планируется не дополнить, а удалить из него эту информацию, если руки дойдут. Перенести в серию документов. Это не вопрос для FAQ, так как предполагает разные варианты реализации (без претензий на абсолютную правильность каждого) и содержит слишком много текста.
Вот, что уже проверено сейчас, в варианте черновика.
В /etc/torrc:
То же, но в /comment53711[link113], но для pf:
Сорри, надо заменить USERNAME2 на USERNAME3 во 2ой строчке снизу.
А если я все-таки запускаю TBB под "прозрачно заторенными юзерами", причем каждый раз руками меняю настройки TBB (может это неск. хуже, как отмечали где-то, с точки зрения профилирования,но это лучше, чем поставить себя под удар, раскрыв "органам" свой физический адрес – профилирование угрожает вероятностным выводом, что те и те действия совершил предположительно один человек, а раскрытие физ. адреса всегда угрожает немедленным арестом или умерщвлением), то можно как-то эти настройки "гвоздями" прибить к TBB?
А то каждый раз указывать для каждого TBB свой SocksPort – можно легко запутаться.
Так и профилирование в некоторых сценариях угрожает тем же самым и вероятностные оценки будут несильно меньше единицы:
Tor proposals implemented in Tor 0.2.3.x[link114]
Есть неопробованная идея соединить оба подхода, развязав TBB-связку. Так чтобы работала и прозрачная торификация для всего не-TBB и заворачивание в системный тор всех TBB (без запуска локальных торов), каждого на свой порт и чтобы не было никаких утечек (весь TBB-трафик или заворачивается на локалхост, откуда может выйти только посредством системного тора или никак). И руками ничего править не нужно будет каждый раз если это получится.
В любом случае, должно всё правильно работать на уровне исходного софта. Нужно или грамотно доставать раработчиков, или не надо пытаться путём накручивания своих костылей пользоваться теми его функциями, на которые он не расчитан.
Черновой рабочий вариант работы TBB с системным тором изложен здесь.
В комментариях к коду в /comment53712[link115] unknown так сильно извинялся и произносил всевозможные предостережения, что мне даже неудобно стало. Вот напугал человека... Хотя оно и к лучшему: пусть сразу не будет иллюзий по поводу того, что firewall обязательно спасёт.
Мне такое решение самому не нравилось :) Но критика пошла на пользу, в текущем варианте системная группа TBB, которая выводила трафик наружу весь TBB-трафик практически без фильтрации, убрана.
Теперь, когда связь с системным тором кое-как работает, при случайном баге пользователь никуда не сможет пустить свои пакеты помимо локалхоста с предопределённым набором портов. Но, некий преднамеренный код сможет обойти файрволл, возможно даже не повышая своих привилегий.
Текущий вариант, даже если получится разнести TBB по портам также будет сохранять массу недостатков и скорее предназначен для изучения новых опций Tor с возможностью что-то попросить у разработчиков.