id: Гость   вход   регистрация
текущее время 10:46 19/03/2024
Автор темы: newbie99, тема открыта 10/10/2017 22:00 Печать
Категории: софт, анонимность, tor, уязвимости, атаки
создать
просмотр
ссылки

Эпидемия js


Вот у вас тут написано в руководстве:
Почему нельзя настроить на использования тора обычный браузер? Почему не рекомендовано использование плагинов в TBB? (Понятие о неразличимости).
http://www.pgpru.com/faq/anoni....._comments=1#comments


И это не укладывается у меня в голове.
Любой Tor-браузер с включенными скриптами является псевдонимным (причём псевдоним не меняется) и уязвимым для многих типов атак: запросы мимо Tor'a, перенаправления на любые сайты (в т.ч. открытие iframe'ов), xss, узнавания многочисленной информации о системе, просмотр всех действий (в т.ч. движения курсором на странице) и т.п.
Там, тут, много ещё где говорят, что js отключать ни-ни, аддоны ни-ни (а без js аддоны снаружи не видны)
Если смотреть по сервисам, то почти всё требует js – анонимная защищённая почта, защищённое облако, защищённые мессенжеры... это же безумие какое-то!
http://www.pgpru.com/forum/pra.....stipochtovyjjjaschik – Тут почту искали, так и не нашли
https://www.pgpru.com/comment82141 – тут список почт, которые, по идее, должны работать без js (оттуда нормально работает только TorBox)


У обсуждавшихся тут и на хабре любителей процов и цветов тоже протекли скрипты.


Чего я не понимаю?


 
Комментарии
— cypherpunks (11/10/2017 11:25)   профиль/связь   <#>
комментариев: 300   документов: 33   редакций: 12
Все правильно понимаешь! 99.9(9)% "безопасных" сервисов honeypot-ы!
Если не противно, полазь по "наркоманским" сайтам (для торговцев оружием и наркотой) они ВСЕ на JS! )
Даже хваленый Runion и тот навязывает JS, например, в "спойлерах". (Особенно повеселило объявление на том сайте одного "кРутОгО СпЕЦа" который общается ТОЛЬКО на сайтах с загружаемой через JS "оболочкой".)

По одной из указанной вами ссылок был ответ более-менее по существу, но тут же получен протест. Вывод – людям анонимность НЕ НУЖНА!!!

От себя могу добавить, что нужно наконец кому-то из энтузиастов (коммерчески это есть давно "для своих") сделать шлюз – VPS или что-то типа того с обработкой JS у себя на защищенном сервере с VM и всем что надо и выдачей готового контента по безопасному каналу.

А о чем думают всякие "Протоны" я не знаю. Но для меня, создание проекта на JS говорит либо о некомпетентности программиста(ов), совершенно не разбирающихся в ИБ, либо о намеренной ловушке, как в свое время была истерика на хостинге, чьих пользователей почекали как раз через JS по пресловуому 0day.

PS Рад, что нашел понимающего человека! Может свой проект замутим? ) (почта+шлюз для JS сайтов)
— newbie99 (11/10/2017 21:59)   профиль/связь   <#>
комментариев: 5   документов: 6   редакций: 1
Вот работаюшие временные почты, что мне удалось найти
JS просят, но не требуют
Приём писем:
http://mailnesia.com/mailbox/ – это default@mailnesia.com. можно брать любой другой ящик вписав в строку там или сразу в адрес, вместо x пишем ящик http://mailnesia.com/mailbox/x
http://www.mytrashmail.com www.mytrashmail.com/myTrashMail_inbox.aspx?email=x вместо x пишем ящик – барахлит с кириллическими символами
Отправка:
http://5ymail.com/ – работает нормально, но добавляет в конце письма свою рекламную подпись
http://www.sendanonymousemail.net – непонятно, работает ли, у меня письма не доходили
http://anonymouse.org/anonemail.html – пишет, что пошлёт письмо в случайное время (до 12 часов)
Насчёт js-шлюза – тут у меня квалификации маловато, я ж ньюби
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3