Как вы устанавливаете Tor Browser на Linux-системе?
Пользуетесь ли Tor Browser? Я ставлю Tor, Vidalia и Polipo из репозитория Debian, после скачиваю архив с Tor Browser и достаю из него папку с профилем и самим браузером, скидывая профиль в .mozilla, потом создаю отдельную папку .torofox для браузера.
Приходится в браузере менять порт с 9150 на 9050 и не работает смена личности в Torbutton, но это не очень мешает. Такая установка допустима?
Ссылки
[link1] http://www.pgpru.com/comment62524
[link2] http://www.pgpru.com/biblioteka/rukovodstva/setevajaanonimnostj/prodvinutoeispoljzovanietorvunix/razdeljnoeispoljzovanietorbrowserssistemnymtoriprozrachnajatorifikacija
[link3] http://storage8.static.itmages.ru/i/13/0728/h_1375020363_7564153_ae2707e15f.png
[link4] http://www.pgpru.com/comment35644
[link5] https://www.eff.org/files/Changelog.txt
[link6] http://storage3.static.itmages.ru/i/13/0729/h_1375114905_6788047_8ae9eb09aa.png
[link7] http://www.pgpru.com/comment43092
[link8] http://www.pgpru.com/comment66457
[link9] https://blog.mozilla.org/security/2013/06/27/mixed-content-blocker-hits-firefox-beta/
как то извращено.
Если цель — ставить не бандл, а только выцеплять нужный firefox с патчами из него, то зачем тогда нужны polipo и Vidalia? Зачем вы их устанавливаете? Polipo уже 100 лет не нужен[link1], а Vidalia нужна только для просмотра цепочек, старта бандла, и, возможно, смены личины. Раз у вас последнее не работает, наверное, не работает и всё остальное, тогда зачем нужна Vidalia?
Какой смысл в установке не всех частей tbb из репозитария? Что пытаетесь получить?
В репозитории Debian есть Tor Browser? По apt-cache search находятся только пакеты *torbutton, которые нельзя поставить, так как их видимо уже удалили из репозитория из-за перевода всех на отдельный браузер.
Главная цель – получить стандартный Tor Browser, где есть защита от профилирования (все как один) и HTTP-прокси на 8118 порту для Liferea (чтение RSS), для которого у меня установлен Polipo.
Меняю личность именно с помощью Vidalia, потому что в Torbutton эта возможность недоступна. Просто хочется узнать, правильно ли я всё сделал, или допустил какую-нибудь критическую ошибку в установке.
В общем удалил Дебиановские Tor с Vidalia, оставив только Polipo. При запуске Tor Browser Bundle программа для чтения RSS торифицируется с помощью Polipo, поставленным из репозитория. А я всё делал оказывается совсем неверно :)
Tor в TBB линкуется с более перспективными openssl и libevent. В различии библиотек проявляются различия в поведении клиентов. К примеру поддержка шифров. И если даже сейчас в репозитарии уже "свежая" версия openssl, то однажды стабильный дебиан может стабильно "отстать". TBB это не unix way, увы.
Может лучше добавлять polipo к оригинальному TBB?
В последних альфа-версиях TBB не нужна даже Vidalia, все эти функции выполняются из браузера.
Если цель только в этом, то можно использовать стандартный TBB + цепляться к портам Tor другим софтом. Лучше, если без polipo. Есть соксификаторы же, tsocks всякий, proxychains, там и авторизацию можно задать. В общем, я бы как-то так делал, если б у меня встала подобная задача.
Спасибо за информацию.
Как только альфа станет стабильной придёться всерьёз поработать над этим документом[link2]. Надеюсь, в сторону упрощения.
Из репозиториев самого Debian ставить tor категорически не рекомендуется, нужно ставить только путём подключения репозитория торпроджекта. Хотя в последнее время вроде ситуация поправилась и там общий девелопер, но всё в любой момент может скатиться к тому как раньше. А раньше команда Debian использовала для Tor такую же политику, как и для остальных пакетов: держала замороженную стабильную версию с бэкпортом security-fix'ов. Причём, часто с этим не справлялась и некоторые не самые критичные дыры оставляли непофикшеными, не говоря о профилировании пользователей с таким тором.
А при соксифицикации любой программы с помощью proxychains так и должно в журнал Vidalia флудить этими предупреждениями[link3]? Можно просто не обращать внимание? С Polipo таких почему-то не наблюдал.
Лучше бы показали, что пишется во вкладке «дополнительно». И, да, не пользуйтесь русифицированными версиями.
Для proxychains советую применить этот фикс[link4] и проверить руками, что DNS-запросы не утекают в сеть напрямую. Предполагаю, что Vidalia ругается на отсутствие DNS-запросов к ней, что она интерпретирует, как утечку DNS. Это не всегда означает реально такую утечку, но нужно быть внимательным.
P.S. Сегодня Tor-чекер выдал:
Потому что[link5]:
Congratulations. Your browser is configured to use Tor.
Вроде все нормально.
К слову, они даже нас уведомили о предстоящем обновлении. Однако нам это ничем не грозит, никакого внешнего контента на сайте давно нет.
На примере pgpru трудно что-то заметить в изменениях правил HTTPS Everywhere. Если они не включены, сайт сам редиректнет на https и юзер этого не заметит (разе что через Request Ppolicy?). Если же они включены, то обращение сразу будет идти по https. Так что https хоть так, хоть так. :-)
[offtopic]
На pgpru https включен по умолчанию независимо от HTTPS Everywhere. Речь о другом: они предупредили о важном обновлении в FF 23, который по умолчанию не будет разрешать смешанный контент на https-сайтах, т.е. http-вставки просто не будут выполняться. Для многих сайтов (но не для нас) это означает полную неработоспособность.
[/offtopic]
В ttb, в HTTPS Everywhere поумочанию отключено использование SSL Observatory, а насколько вообще эта фича нужна?
Она полезна для "общества в целом", а не для конкретного пользователя и, к сожалению, несовместима с анонимностью. Эта фича помогает EFF автоматически выявлять фальшивые сертификаты, что иначе бы требовало бы ручных действий продвинутых пользователей.
После применения фикса пропала строчка про 53 порт[link6], а вот остальные всё еще выводятся. Так и должно быть?
Вообще, когда tor-resolve выполнеяется proxychains'ом, я не знаю, что об этом будет думать Tor-клиент. В любом случае проверьте 53-ий порт снифером, предварительно отключив всё лишнее в системе:
Здесь одно время назад обсуждались страницы авторизации крупных порталов, и многие из них имели проблемы [/comment43092[link7], /comment66457[link8]]. Неужели все эти порталы лягут после обновления firefox?
У Tor-чекера check.torproject.org сегодня что-то опыть проблемы.
У тех, у кого старая версия https-everywhere.
Да это регулярно бывает. Вроде, в новых версиях TBB планировалось как-то избавиться от привязки к этой странице. Возможно, ответ чекера будут давать сами некоторые узлы сети.
Понятно. Я-то подумал, что теперь сам firefox не будет допускать наличие смешанного контента на https-страницах, вот и спросил, что же тогда будет...
Коллеги, я говорю именно о Firefox[link9], который с версии 23 будет блокировать активное содержимое (в частности, js и css), передаваемое по HTTP, на HTTPS-сайтах. В случае HTTPS Everywhere проблема усугубляется тем, что он принудительно переводит пользователя на HTTPS-версию сайта, которая может быть неготова для такой работы — как вы знаете, в ряде случаев HTTPS Everywhere использует не очень широко известные режимы работы сайтов (как было поначалу с Википедией, например).
Насколько нормально то, что по умолчанию TBB играет звук; подаёт звуковые сигналы, если жмёшь куда-то не туда; ну и, естественно, проигрывает видео. Если не ходишь по звуковым и видеосайтам, стоит ли отключить звук и видео? Если да, то как?
А если эксит воткнёт в трафик микроскопический невидимый и неслышимый аудио и видеокод и по ответу распознает, что он у вас отключен, то подконтрольная кому-то группа экситов сможет делать профилирование.
Поидее сайт не должен знать, проигрывается ли реально его звук и видео, или игнорируется — это же внутренние настройки браузера, казалось бы. Я понимаю, что есть косвенные показатели (запрашивает ли браузер определённые элементы, скачивает ли их), но это не совсем то.