Всё о TBB (Tor Browser Bundle)
Извиняюсь, но за 10 минут перебора тем в форуме "Анонимность" не нашел всеобъемлющей темы о TBB (Tor Browser Bundle), только разрозненные.
Поэтому предлагаю обсуждать вопросы и проблемы, представляющие интерес для многих, в этой ветке, будет удобней.
Странно, что такое deliberate-искажение не делает тех, кто его писал, виновными в утаивании информации от судей.
Так и не понял. Последняя stable-версия TBB на момент атаки была уязвимой или нет? О каком патче они говорят? Здесь проблема обсуждалась, и тоже ясности не было.
Готовьтесь к массовым эксплоитам господа, запасайтесь виртуалками и файерволами.
– прошелся по вашей ссылке,но к сожалению, ничего не понял. Можете прокомментировать?
Стр. 19: Админ HS рекомендовал виртуалки. Это ему не помогло. Другим рекомендовал, а сам не использовал? Теперь это так и останется тайной.
Стр. 22:
Кто-нибудь что-нибудь понял? Я ничего не понял. Как они нашли IP борды A? Одни расплывчатые вуалирующие фразы. DB для HS "Bulletin Board A" случайно содержала его IP? HS был тоже взломан через веб, но хостился не на виртуалке, поэтому был получен доступ к IP?
Стр. 29:
Подчёркнутая фраза наводит на мысли. Неужели в США в таких случаях теперь используют ТРК?
Стр. 30:
Стр. 32:
Загруки малвари на веб-сайты теперь описываются вот так. Это не малварь, это дополнительные "instructions", и это не инфицирование ПК, а его "активация", как будто пару строчек в конфиге веб-сервера поправили, чтоб больше информации о кликах получать. Теперь использование этих "instructions" ставят на поток.
Стр. 36:
Не положено людям много знать. Будут много знать — будут хорошо защищаться.
Краткое резюме:
А что там комментировать? Тео жалуется на то, что в софте проприетарная закрытая фирмварь, блобы. Фирмварь может приводить к фатальным уязвимостям в системе. В случае той же Nvidia (или там просто проприетарные дрова на иксы были?) было получение root-доступа к системе. OpenBSD и Тео известны своей войной с блобами, у них даже одна из песенок к одному релизу этой теме посвящена.
К тому же юзеров сети с этим "Морзе" вначале будет раз-два и обчелся, вычислить ху из ху будет просто.
Получится, не сомневайтесь;)
А как по Вашему будут детектить именно AcodeMorse?
В процитированном тоже ничего нового. Пишут, что ошибка была исправлена за месяц до появления информации об эксплоите, а значит теоретически никого задеть не должно было. Тор браузер никогда так долго не задерживали с выпуском. Но в цитате всё равно считают браузер уязвимым на практике, так как пользователи не обязаны так быстро (ведь месяц это так мало) обновляться вручную, а автоапдейта нет. Из большой выборки пользователей браузера, часть уж точно не успела или не захотела обновиться. Этот факт зачисляют в практическую уязвимость не конкретной версии, а вообще Тор браузер как класс.
На этот счёт есть даты для дистрибутивов из архива.
Пожалуй, я разместил свои вопросы по Raspberry не в самой подходящей теме, поэтому переезжаю с ними в тему "Надежность Tor":
https://www.pgpru.com/forum/an....._comments=1#comments
Кто желает поучаствовать в обсуждении Raspberry – приглашаю туда :)
А вот не факт. Что значит «исправлена»? Под этим могло подразумеваться следующее: в багзилле firefox уязвимость было известна, и патч был выложен, поэтому те, кто беспокоится, могли сами пересобрать из сорсов TorBrowser, предварительно накатив апстримовский патч. Ну, типа, «те, кто этого не сделали — сами виноваты» — можно и так понять.
Сейчас есть автоматический нотификатор, который, максимум, после 1-2 дней с выхода апдейта начинает показывать предупреждение. Я если такой вижу, то сразу обновляюсь. Считаю, что те, кто видят и не обновляются, те ССЗБ. Тем более, месяц — очень приличный срок.
Они пишут не про патч (patch), а про то что ошибка исправлена (patched). В мазилле не публикуют патчи отдельно и не дают доступ к тикетам с такими ошибками некоторое время даже после выпуска (пару недель как минимум). Те кто имеют доступ соглашаются не публиковать детали и тем более явные патчи. Разработчики браузера не обязаны упоминать детали в закоммитченных патчах в открытый и публичный репозитарий, обычно они ограничиваются комментарием о номере тикета для исправления. Тор браузер делали (и пока делают) из готового Firefox ESR добавляя свои патчи, а не накладывают апстримовские на свой код. Тор браузер это файерофокс (из официального мазиловского репозитария) + немного своих патчей (в код и опции по умолчанию).
Слабо верится, что никто из имеющих доступ не сливает информацию в паблик. И зачем так делать? Чтобы дать людям обновиться раньше, чем злоумышленники узнают об уязвимости?
Когда выходит новый TBB, в changelog'е пишут, что пофиксены такие-то и такие-то ошибки, найденные Mozilla в своём ESR.
Я не в курсе, как нумеруются ESR. Каждый новый патч — новая версия? Вряд ли. Короче, если TBB сделан но основе одной версии ESR, а потом в этой ESR нашли ошибку, то что происходит?
Как я понимаю, происходит следующее: Мозилла патчит свой ESR и выдаёт бинарное обновление. По логике вещей, TBB должен взять их патч и применить к себе (вкупе с собственными, которые делают из FF'а TorBrowser). Поскольку при фиксах в ESR основной код не меняется, а просто накатывается патч, теоретически каждый может собрать свой TBB из сорсов, положив в основу исходники не первичного ESR, а уже пропатченного секьюрити-патчами Мозиллы.
Такая фигня. У меня русскоязычный TBB, но я не хочу чтобы это видели сайты и серверы. Изменил почти параметры из about:config где стоит ru. Но один параметр intl.accept_languages постоянно сбрасывается после нескольких перезапусков TBB. По умолчанию он "ru-RU, ru, en-US, en", исправляю его на "en-US, en", а потом снова возвращается старое значение. А этот параметр высвечивается на https://panopticlick.eff.org/
комментариев: 9796 документов: 488 редакций: 5664
При появлении информации о новой (минорной) версии ESR, создают ветку в своём репозитории для Tor Browser. К примеру вышла новая Firefox 24.7.0ESR, тогда создают ветку tor-browser-24.7.0esr-3.x-1, куда копируют код из ветки репозитория Mozilla c Firefox ESR 24 в соответствии с тэгом для версии. Далее код правят под себя с помощью готовых патчей, плюс исправляют код для переименования браузера и удачной сборки под MinGW (ванильную Firefox собирают с помощью MSVC) и на выходе получают Tor Browser. Все новые коммиты поверх кода ванильной Firefox.
И так каждую новую минорную версию ESR, при появлении новой major версии дополнительно необходимо портировать свои патчи под новую ветку Firefox кода.
Патчи для ванильной Firefox отдельно от репозитория не распространяют, доступ публичный, но разбираться, что значит коммит с комментарием об исправлении тикета XYZ, нужно самостоятельно. Баги бывают разные, связанные между собой, поэтому при непубличном тикете в багтрекере выяснить нужный коммит бывает сложно. Если цель не создавать эксплоит, то зачем?