Tor Browser Bundle и пакетный Tor

Если я правильно помню, то при обсуждении TBB LiveCD Tails для "более продвинутых" всё же рекомендовали. Так значит что, в Tails проблема как-то уже решена? Собственные патчи Tails'а?

>unknown, Майк в своем блоге [WWW] рекомендовал (похоже тебе)
похоже :)

>Не пробывал с ним общаться?

нет

Может попробуешь? Я бы сам пообщался, но в таких случаях я ощущаю нехватку знаний языка, для того, чтобы свободно в онлайн-чате обсуждать такие вопросы.

Если я правильно помню, то при обсуждении TBB LiveCD Tails для "более продвинутых" всё же рекомендовали. Так значит что, в Tails проблема как-то уже решена? Собственные патчи Tails'а?

Вероятно, выложили бы сырцы и описание какое-то в FAQ, как руками делать, для "полупродвинутых" юзеров.

Я вообще онлайн-чатами не пользуюсь. конечно можно было бы попробовать по особому поводу. Мне просто показалось, что Lunar занимается поддержкой правил SELinux. А ничего больше того, что предложено торпроджектом он может и не сделает. Кроме того, нестабильные ветки Debian, на которых всё обычно обкатывается, меня тоже мало интересуют. Можно конечно поискать его среди мантейнеров и посмотреть, какими конкретно проектами он занят.

В FAQ, кстати появился такой вопрос:

TBB on OSX and Linux has an experimental feature where Tor listens on random unused ports rather than a fixed port each time. The goal is to avoid conflicting with a "system" Tor install, so you can run a system Tor and TBB at the same time. We're working on a feature where Tor will try the usual ports first and then back off to a random choice if they're already in use.

Родят они рано или поздно что-нибудь. И на какой-то старой записи Роджер представлял прозрачную торификацию, как важное достижение в борьбе с утечками для unixоподобных осей. Вероятно это как-то реализуют на новом уровне. В проектах, например была идея подключать к одному клиенту много программ на разных портах, так чтобы для них строились разные цепочки.

Объясните пожалуйста, в чём преимущество использования tbb перед простым Тором в виде сокс-сервера? Если это только обобщённый профиль браузера, то его можно самостоятельно сформировать прокси-сервером, через который идёт трафик от веб-клиента к Тору. И кстати, где найти детальное описание этого профиля, в смысле конкретный вид полей в HTTP-заголовках. Правильно ли понимаю, что tbb представляет ценность только для тех кто пользуется ява-скриптами, флешем и т.п. небезопасными наворотами ввиду сложности самостоятельной настройки.

На мой взгляд, самый безопасный способ серфинга – это установка простого Тора (он ведь отдельно доступен на сайте разработчиков), запускаемого от ограниченного пользователя, и отключение ява-скриптов в браузере. Прозрачная торификация достигается двумя путями.

1. Сокс-редиректор redsocks. Работает как сервер, занимающий определённый порт в системе. На этот порт с помощью nat прозрачно редиректится весь исходящий трафик и пропускается через Тор.

2. vpn-сервер за Тором. На соответствующий виртуальный интерфейс направляется весь исходящий трафик. Попутно решается проблема с udp-трафиком.

Ну и разумеется пресечение утечек с помощью файрвола – в сеть выходит только ограниченный пользователь, от которого работает Тор.

По сравнению со стандартным профилем tbb, более безопасным возможно будет динамический профиль, генерируемый скриптом и передаваемым прокси-серверу при каждом запуске или по расписанию. Тогда большинство профилей будет уникальными. Проблема в формулировке правил генерации, чтобы помимо различия между собой профилей, они бы ещё не выделялись из общего фона.

Объясните пожалуйста, в чём преимущество использования tbb перед простым Тором в виде сокс-сервера?

Читайте здесь. Атаки уже давно идут на более высоком и серьёзном уровне, а не на том, который был 5 лет назад.

Кроме того, нестабильные ветки Debian, на которых всё обычно обкатывается, меня тоже мало интересуют.

Если оно не попадет в нестабильные ветки, следовательно, не попадет и в бэкпорты, и потом – и в стабильные.

В проектах, например была идея подключать к одному клиенту много программ на разных портах, так чтобы для них строились разные цепочки.

А вот это, как мне кажется, было бы хорошим решением.

Правильно ли понимаю, что tbb представляет ценность только для тех кто пользуется ява-скриптами, флешем и т.п. небезопасными наворотами ввиду сложности самостоятельной настройки.

Ну так уже жевывали – разжовывали, что куча заголовков отправляется браузером, которые могут послужить (а точнее – служат) основой для построения профиля юзера. А многие параметры системы, для получения которых противником раньше нужен был включенный JS, сейчас получаются им через CСS и т.п. фигню.
Меня другое интересует – правильно ли я понял, что профиль пользователя позволяет не только предположить, что такие-то записи там, и такие-то записи сям – принадлежат ему, но еще и использовать для изучения трафика, идущего от потенциального "клиента", для его идентификации?

На мой взгляд, самый безопасный способ серфинга – это установка простого Тора (он ведь отдельно доступен на сайте разработчиков), запускаемого от ограниченного пользователя, и отключение ява-скриптов в браузере.

Вот интересно, а как Вы подадите документы, например, в арбитражный суд через my.arbitr.ru, не включая JS? Никак.

Ну и разумеется пресечение утечек с помощью файрвола – в сеть выходит только ограниченный пользователь, от которого работает Тор.

Ну так это самое главное, зачем первые два пункта?! Или вы все о нем, о мастдае?!

Ну так что, никто не знает где найти описание хвалёного Tor Browser Bundle? (исходный код не надо предлагать) Теоретические атаки как-то не особо впечатляют, чтобы променять контроль над ПО и свободу выбора http-клиента на волшебный ящик в виде TBB c иллюзорными преимуществами.

многие параметры системы, для получения которых противником раньше нужен был включенный JS, сейчас получаются им через CСS и т.п.

Насколько я знаю, css-файл просто скачивается и дополняет html-код. Никакого диалога нет без включения js. Что-нибудь конкретное можете привести или это просто слухи?

Как жить без скриптов в браузере – это другая тема, не относящяяся к данной.

Насколько я знаю, css-файл просто скачивается и дополняет html-код.

С принятием CSS3 в лоно браузеров — уже нет.

С принятием CSS3 в лоно браузеров — уже нет.

Вот нафига такой кал придумывают разрабы браузеров?! Они калоеды?!

Они только реализуют в своём ПО. Придумывает W3C. "Это вебдваноль, сынок".

Не думаю, что разрабам составит труд сделать опциональными некоторые возможности. Но будут ли?

Любые опции — это дополнительный код и дополнительное тестирование. Спрос на эти опции всё равно ничтожно мал. Достаточно посмотреть на историю багов, сообщённых Мозилле членами torproject — тот же hardcoded socks timeout сколько лет висел даже при наличии патчей?

Придумывает W3C.

Который явно действует в интересах правительств, корпораций и спецслужб, против народов мира.

Кстати, насколько я помню, в приведенно unknown'ом документе с торблога особенно не разбирается профилирование с помощью браузерных закладок.
Насколько серьезным образом наличие в браузере закладок профилирует пользователя? Т.е. насколько безопасно создавать эти закладки для удобства поиска часто посещаемых сайтов?
И есть ли какой-то способ безопасного их создания/хранения или чего-то подобного? (не считая конечно просто хратить в plain text или в OOO перечень ссылок).
Кстати сказать, когда я смотрю статистику своих сайтов, там показывает, сколько пользователей сделало закладки на страницы моих сайтов.Мне, конечно, может и приятно "мастурбировать" на эту статистику, пользователям, должно быть, совсем нет. Они об этом даже не задумываются, большинство!!!
Неужели никак нельзя отключить отсылку такой информации на сервер?