что вы думете о Tails

а в чем разница в пользовании iceweasel и FF? чем не устраивает торификация на уровне приложения (iceweasel)?

Разница в том, что Iceweasel (как и ванильный FF) не содержит специфических патчей TBB.

Я этот вопрос пока тоже недоосилил и, также как и TAILS надеюсь, что в TBB будет реализован список тикетов, позволяющих решать проблемы с расширенной настройкой "из коробки".

Наконец, TAILS специально и обоснованно удалил прозрачную торификацию, как небезопасную с точки зрения анонимности. По крайней мере, её опасно применять, если пользователь сидит не за роутером и имеет реальный внешний IP на своём сетевом интерфейсе.

/comment53618


Почитал, что пишут:

This approach to Torification of network activity is fundamentally flawed, because applications' connections (which are subsequently redirected to Tor service by firewall rules) are bound to the external network adapter interface, and the applications are therefore automatically aware of the computer's IP address — which is a property of the connection.
…
I2P has been verified to not leak the system's IP address when used in hidden mode.

Страшно подумать: в Liberte и Tails теперь знают, что приложение может и ifconfig -a запустить, а там... реальный IP. Надежда на то, что какие-то приложения никогда не воспользуются этой информацией, т.к. якобы (не содержат уязвимостей, разработчики ручаются своими яйцами, и т.д. подставить нужное), веселит. На pgpru.com об этом впервые писалось ещё много лет назад: что делать с тем фактом, что анонимный юзер знает свой реальный IP, а, значит, и географические координаты. Теперь тут уже давно обсуждается кардинальное решение через виртуалки, а там ещё даже до этой мысли не дозрели? Неужели им не под силу собрать LiveCD со встроенным Xen или ещё чем-нибудь? И после этого какие-то Гости тут ещё разводят вой на тему того, что надо пользоваться официально поддерживаемыми решениями типа Tails вместо того, чтобы прочитать документацию, подумать головой и соорудить свой огород.

claws mail (и piggin) в TAILS – надеюсь тоже заторенный?

какие есть веб почтовые клиенты?

приложение может и ifconfig -a запустить, а там... реальный IP.

А, может, и не может...

$ ifconfig bash: ifconfig: команда не найдена $ which ifconfig which: no ifconfig in ...

А если указать полный путь к файлу? Бывает, некоторые каталоги с утилитами прописаны в переменных окружения по-умолчанию только для рута.

Да, но тут немного иной случай:

# which ifconfig /sbin/ifconfig # ls -ld /sbin drwxr-x--- 2 root root 7168 мая 14 16:20 /sbin

Неужели им не под силу собрать LiveCD со встроенным Xen или ещё чем-нибудь? И после этого какие-то Гости тут ещё разводят вой на тему того, что надо пользоваться официально поддерживаемыми решениями типа Tails вместо того, чтобы прочитать документацию, подумать головой и соорудить свой огород.

А почему бы, уважаемое сообщество, в таком случае не реализовать свои знания на практике? Создать готовое решение. Тот-же самый live-cd, который бы более полно соответствовал нашим представлениям о том, что такое настоящая, анонимная, безопасная система. Перейти от теории к практике.

...Мы занимаемся этим из интереса, из альтруизма, из любви к искусству, желая помочь пользователям Рунета в освоении тех инструментов и средств, которые помогут им в бизнесе, в личной жизни, в самовыражении, в отстаивании своих интересов в цифровом мире интернета...

Лично мои требования к ОС подобного типа:

Наиболее используемая программа – это броузер. На данный момент, это наиболее многофункциональный инструмент для работы в сети. Наличие таких программ как – почтовый клиент, мессенджер и т.д. – необязательно. Есть огромное количество веб решений. Задача – полное поддержание возможности работы с ними. (с поддержкой всех распространенных плагинов типа флеш)
TOR на данный момент, "ущемляется" всеми, кому не лень. Нет возможности работать нормально. Вторая проблема – провайдер. Очень важно иметь возможность – скрыть от него явное использование сети TOR. Если последнее, более или менее нормально решается с помощью мостов, то задача по скрытию TORа от конечного ресурса – реализована явно хуже. Нет на данный момент удобного инструмента для подстановки (и смены по мере необходимости, "по-живому") прокси между крайней нодой и конечным ресурсом.
Ну и общие пожелания: ос должна быть максимально скромна по потреблению ресурсов. Нет необходимости пихать в неё все возможные пакеты. GUI – мне нравится openbox. crunchbang – пример для подражания в этом плане. Если учесть, что пользуемся в основном только броузером – подобное решение, более чем достаточно.

Все производные от основных дистрибутивов ОС, не говоря про LFS, хороши как раз в тех областях, где не требуется безопасность. Проекты сверхбезопасных ОС это отчасти подтверждают: что там из наиболее громкого умерло, кажется Adamantix?

По поводу анонимных ОС тот же скепсис. Дырку в ядре или, скажем, в какой-нибудь libssl, могут днями и даже месяцами не закрывать в обычном дистре в завимисости от критичности. В критических случаях закроют за часы. Это опять же, пересобрать и протестить один пакет, а не весь образ диска.

Маленькие команды сборщиков специализированных ОС обычно не могут оперативно вносить критические исправления, которые ещё должны пройти по исходным дистрам.

в таком случае, что остается? что использовать в "домашних условиях"? – аппаратный tor?

P.S. не в курсе, как обстоят дела с claws mail в tails?

Тут уже в обсуждениях всплывала проблема, что у пользователей очень сильно различаются модели угрозы и многим нужны только какие-то одни стороны анонимности, но не нужны другие. Из-за этого сильное непонимание.
Например,
Это так для вас, для кого-то, но может быть совершенно не нужно и неинтересно другим. Тот, кто использует тор, чтобы посещать только ресурсы, которые не блокируют тор, скрытые сервисы и свой собственный скрытый ssh, никогда с этим не столкнётся и даже не поймёт о чём речь.
Для защиты от цензуры, в тех странах, где его блокируют — да. Для защиты от выслеживания принадлежности к тор-пользователям — может быть. Но многим некритично ни то, ни другое.
Не все будут разменивать анонимность ради возможности делать посты на блокирующем тор ресурсе. Это нерекомендуемое и неподдерживаемое действие. Более того, хотя тор делают сложным для блокирования по входу в него, тор умышленно делают удобным для блокирования теми, кто не хочет получать сообщения из него. Это принципиальный момент разработчиков не только тора, но и предшествующих анонимных систем.

ok. это понятно.

лично для меня (и я думаю, что не одинок) важно

...скрыть от него явное использование сети TOR...

и скрытие тора от конечного ресурса, т.е. – прокси между тором и собственно сайтом. Второе особенно.

Как? Как указать прокси непосредственно в torrc, без использования privoxy и polipo?

Вот что пока нашел ;)

Кто мне запрещает самому написать ifconfig, воспользовавшись публично доступными сисколлами (syscall) и интерфейсами? Или пользователю запрещено делать собственные файлы исполнимыми? noexec тут тоже ничего не даст, так что остаётся только SeLinux.


Если оно будет требовать прекрасного знакомства с командной строкой, оно не будет популярно — специалисты и сами под себя такое соберут, чтобы иметь больше доверия к софту, а остальные попросту не смогут пользоваться. Хорошо, если вы можете openbox крутить, а от других тут же посыпятся претензии: как посмотреть кратинки, как просмотреть список файлов, как узнать, куда именно сохранил файл браузер, как подмонтировать внешнюю файловую систему из командной строки. Самая тяжёлая и непреодолимая вещь — вопиющая безграмотность среднестатистического пользователя, который не только видит отличий ПК от стиральной машинки, но и считает, что её не должно быть.


Это достаточно трудно:

цензурозащищённость не имеет ничего общего со стеганографией или отрицаемостью. Это временное сокрытие, чтобы можно было пользоваться, пока не перекроют канал, а сам факт этого использования не является критичным в случае определения.

Прозрачная торификация на Tor-рутере + прописывание proxy в настройках в браузере на клиентском компьютере в локалке.