id: Гость   вход   регистрация
текущее время 14:10 28/03/2024
Автор темы: Гость, тема открыта 01/11/2014 11:07 Печать
Категории: софт, анонимность, приватность, tor, разное, события
создать
просмотр
ссылки

Зеркало Facebook в Tor


Новость отсюда Хабр, офф. источник.


Произошло то, что как бы совсем не ждали, совершенно. У Facebook появилось официальное зеркало в Tor.
facebookcorewwwi.onion/

Это сколько нужно пробрутить ключей, чтобы получить такой адрес? Все буквы, кроме последней, в некотором смысле, "красивы". Мне кажется это очень странным. Он пишет, что случайно сбрутили. Что скажете?


 
Комментарии
— SATtva (01/11/2014 11:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

"Альтернативный адрес" было бы точнее.


Part three: their vanity address doesn't mean the world has ended

Their hidden service name is "facebookcorewwwi.onion". For a hash of a public key, that sure doesn't look random. Many people have been wondering how they brute forced the entire name.

The short answer is that for the first half of it ("facebook"), which is only 40 bits, they generated keys over and over until they got some keys whose first 40 bits of the hash matched the string they wanted.

Then they had some keys whose name started with "facebook", and they looked at the second half of each of them to pick out the ones with pronouncable and thus memorable syllables. The "corewwwi" one looked best to them — meaning they could come up with a story about why that's a reasonable name for Facebook to use — so they went with it.
— Гость (01/11/2014 14:15)   <#>
Это как сахар солью посыпать.. Зачем им это нужно? Обойти цензуру?
— Гость (01/11/2014 19:07)   <#>
So to be clear, they would not be able to produce exactly this name again if they wanted to.

Нет. Если известна затравка и генератор, то многие могут повторить. Спецслужбам, как я полагаю, известно и то, и другое: они поднимут записи переговоров сотрудников и всякие контракты фб на поставку оборудования, и смогут догадаться, какой генератор и семя использовались. Ещё можно прийти с обыском. А можно просто вытребовать у фб ключи.
— Гость (01/11/2014 22:30)   <#>
какой генератор и семя использовались.

А кто сказал, что семя должно храниться? С обыском прийти можно, но какой смысл, здесь же тор используется не для сокрытия положения сервера.
— Гость (15/02/2015 09:07)   <#>
Есть правила для всех, а есть правила для серьёзных игроков рынка. Если очень хочется, можно для локальных доменов, таких как onion, официальный сертификат выпустить в обход всех процедур и в нарушение всех требований к сертификации:

The existing Facebook .onion URL was issued by Digicert under a loophole in certificate issuance requirements.

Это ещё один камень в огород PKI.
— unknown (15/02/2015 16:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А на домен *.* сертификаты не выдают? Хотя, такое браузер не пропустит.
— Гость (16/02/2015 08:26)   <#>

[АНБ]
Мы поговорим с Mozilla на предмет включения нужного патча в их код.
[/АНБ]
— Гость (18/02/2015 00:00)   <#>


а я вот такие домены нашёл на прожашу http://like5lopsforfuck.onion Like 5 Lops For Fuck
— Гость (19/02/2015 00:02)   <#>

When you buy a domain, I will keep no record of its key whatssoever.
Once you have confirmed the receipt and validity of the key, all associated data will be deleted from our servers.

Так все и поверили.

Смысл отпечатков в том, что они случайны. Проблему запоминаемости надо решать не брутом, а каким-то иным способом. Стало модно брутить и PGP-отпечатки и onion-адреса... много ли в этом смысла окромя пафоса?
— unknown (19/02/2015 09:22)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Примерно столько же, сколько в красивых номерах автомобилей.
Общая оценка документа [показать форму]
средний балл: +3респондентов: 1