— SATtva (20/03/2007 20:15)   

Mozilla Firefox провалил тесты на безопасность.

Это какие тесты? Referrer и cookies? А чем NoScript должен помочь, если и первое, и второе устанавливается и считывается посредством протокола HTTP, а не исполняемых скриптов? Просто запретите в Firefox'е cookies для всех узлов (для нужных потом можно разрешить при надобности) и отфильтруйте referrer любым подручным средством — от браузера до какого-нибудь расширения Firefox (мне лично больше нравится Privoxy).

Прохожу тот же самый тест: "Your browser (or firewall) set to block cookies so there is no risk to your privacy... Your browser (or firewall) set to block referrer so there is no risk to your privacy". Дело, значит, не в браузере, а в "человеческом факторе".

Firefox один из самый дырявых браузеров за 2006 год

Где-то у Шнайера в блоге мне другие данные попадались (не могу найти ссылку, к сожалению). Вообще "дырявость" — не есть научный термин, а степень "дырявости" — во многом показатель субъективный, зависит от того, как считать: по числу выявленных уязвимостей или по количеству дней, когда найденные уязвимости оставались открыты (мне больше по душе второй вариант). А если учесть, что Firefox — единственный браузер с открытыми исходниками (среди крупных рыночных игроков), то сколько реальных уязвимостей (типа 0-day) присутствует у конкурентов — вопрос открытый и едва ли подлежащий закрытию в рамках конструктивной дискуссии.

— SATtva (21/03/2007 12:34)   
Вот, кстати, по теме:
http://www.securitylab.ru/news/293034.php

— sentaus (21/03/2007 13:11)   

Где-то у Шнайера в блоге мне другие данные попадались (не могу найти ссылку, к сожалению).

http://www.schneier.com/blog/a.....internet_explor.html^[link3]

— SATtva (21/03/2007 13:20)   
Спасибо. А вот по Эксплореру за прошлый год:
http://www.washingtonpost.com/.....s/index20070104.html^[link4]

— SATtva (21/03/2007 13:25)   
Только это всё частности, а по сути Serghan поднял верный вопрос. Современные веб-технологии столь сложны, что зачастую даже опытным пользователям нетрудно запутаться в их взаимодействиях. Как помочь? Мне кажется, что просвещать о внутренностях этих самых взаимодействий — в общем-то, гиблое дело (не совсем бесполезное, но в целом это тупиковый путь). Может лучше просто советовать людям: "хотите безопасность — жертвуйте функциональностью и ставьте links", к примеру? "Be secure by default". Какие у вас соображения?

— unknown (21/03/2007 15:15)   

«хотите безопасность — жертвуйте функциональностью и ставьте links»

Тех кто ставит Links просвещать уже не надо. Они уже "просветились", а тех кого устраивает IE это не нужно.

“Be secure by default”

В это я тоже не верю. Этот "Default" в конце концов получается путём долгой настройки и изучения документации. Опять же кому нужно, тот знает для чего.

— SATtva (22/03/2007 21:50)   
Интересны текущие результаты опросов^[link5] от 21 и 22 марта о безопасности браузеров и софта вообще. Если между результатами браузерных вопросов есть определённая корреляция, то связать их с результатами опроса по софту становится трудно: почти половина (44% на данный момент) высоко оценивает безопасность Оперы, однако подавляющее большинство (более 83%) считает, что открытый софт априори более безопасен. Опера — закрытая программа. И, тем не менее...

— spinore (23/03/2007 04:55, исправлен 23/03/2007 04:58)   


В любом случае, если сейчас внезапно раскрыть исходники оперы то обнаружится много чего...
Для файера этот фокус не прокатит ибо исходники уже раскрыты.


Домашние задание для SATtva:
Задача: предположим, что SATtva, захотел создать анонимное соединение с сайтом "X" – установил Линукс, а затем links, tor и privoxy, корректно настроил указанные 3 программы, после чего зашёл на указанный сайт "Х" через links. Однако, на сатйе "X" некто злобный unknown решил дискредитировать анонимность SATtva и моментально вычислил его реальный IP под которым SATtva виден в инете. Вопрос: как он это сделал?
P. S.: подсказка: ответ очень прост. Если не догадаетесь – скажу сам.

— SATtva (23/03/2007 10:52)   
(Любое совпадение имён является совершенно случайным и ненамеренным.) :-)
Ну, SATtva из задачки мог бы links и в Винде поставить. Тут ведь дело не столько в безопасности ОС (это уже тема для другого разговора), а в изначальной ограниченности браузера, который при всём желании нельзя заставить выполнить даже простейший скрипт на своей стороне (не говоря уже о поддерже всяких монстроподобных плагинов).

— spinore (23/03/2007 17:34)   


ага


Кажется, вы не понимаете. Так о какой конкретно ограниченности идёт речь?!

— SATtva (23/03/2007 21:57)   

Кажется, вы не понимаете.

Ну так просветите меня.

— spinore (25/03/2007 05:32)   


Ноги растут вот откуда: обычно "прокси" понимается как нечто, нужное для получения возможности в принципе связываться с инетом, а не как основной способ анонимности. Это умолчальное понимание слова "прокси", и потому в настройках браузеров окошко с настройками проксей всегда помещают в поле "network connections" а не в раздел "security". В браузере links, при всей его пушистости и безопасности, ситуация идеологически та же. По своей реализации links поддерживает следующие протоколы: FTP, HTTP и HTTPS. В поле для указания проксей есть возмодность указать прокси только для HTTP и FTP – для HTTPS соответствущего поля в интерфейсе нет :-(. Предположим, что некто "SATtva" глубоко не задумался о том, как себя поведёт браузер если для FTP и HTTP прокси указана в настройках, а про HTTPS не сказано ничего. В итоге, некто "unknown", видя на удалённом сервере что SATtva использует links (что не может быть отключено посредством настоек links'а) и коннектится через tor, заставляет проследовать SATtva по какой-нибудь ссылке, которая запросит HTTPS-соединение... Есть не малая вероятность, что SATtva на неё щёлкнет. После этого links, не выдавая никаких предупреждений, тихо и спокойно законнектистя на https не через tor по указанному в ссылке адресу. Анонимность скопрометирована. P. S.: в тему: сам долгое время не знал пока не напоролся, однажды... было много воплей, криков и ругани... (после одной такой "ссылки" зашёл для пущей гарантии на сайт поглазеть на свой внешний айпишник...)

— Гость (25/03/2007 09:42)   

по какой-нибудь ссылке, которая запросит HTTPS-соединение...

Далеко и ходить не надо. Когда на этом форуме гость отправляет сообщение, он попадает в HTTPS!

— ygrek (25/03/2007 14:31)   
а firewall?

— SATtva (26/03/2007 14:40)   
spinore, я не знал, спасибо. Как отметил ygrek, это можно отфильтровать брандмауэром, но напороться для первого раза можно.

— serzh (26/03/2007 15:33)   
Для хорошей анонимности, нужно разрешить только одной программе обращаться к интернету (прокси серверу) или пускать весь трафик, через прокси на корпоративном сервере (при условии, что прямого доступа в интернет ОС не имеет). Второй вариант более предпочтителен, т.к. проще.

— spinore (27/03/2007 03:22)   


PF, видать, не заставить отличать разные программы, которые лезут на https. Вообще, по 443-му порту может и тор лезть... зачем его так ограничивать?

— spinore (27/03/2007 03:24)   


Можно и на целевом компьютере настроить... Но поднимать свой прокси-сервер и разбираться с ним не очень интересно... в смысле долго и трудозатратно.

— unknown (29/03/2007 09:12, исправлен 29/03/2007 11:20)   
Можно запустить не links, а lynx в chroot-окружениее на Linux системе со специально пропатченным ядром ;-)
Поле browser-agent менять можно, и даже прокси для HTTPS можно указать и в конфиге^[link6] и переменной окружения консоли.

Но некто unknown знает, что lynx не имеет нормальной схемы работы с SSL -сертификатами.

Все параноики опять обломались. А то всё файрфокс, файрфокс...

P. S. Когда за lynx взялась комманда профессора Бернштейна, то и в этом простом браузере находили уязвимости, дающие выполнить произвольный код.

При том, что он не только javascript не поддерживает, а практически вообще ничего.

— SATtva (29/03/2007 11:45)   

P. S. Когда за lynx взялась комманда профессора Бернштейна, то и в этом простом браузере находили уязвимости, дающие выполнить произвольный код. При том, что он не только javascript не поддерживает, а практически вообще ничего.

Видимо, связано с переполнением буфера. Мда, покой нам только снится...

— spinore (29/03/2007 18:08)   


lynx?! Смотреть парнуху текстовым браузером? Нет уж, извольте... :-)

— SATtva (29/03/2007 21:21)   
Какое-то у участников подозрительно приподнятое настроение. Весна? :-)

— spinore (30/03/2007 11:15)   


да... а сессии всё нет и нет.