— Гость (27/07/2013 13:01)   
как то извращено.

— Гость (27/07/2013 16:46)   
Если цель — ставить не бандл, а только выцеплять нужный firefox с патчами из него, то зачем тогда нужны polipo и Vidalia? Зачем вы их устанавливаете? Polipo уже 100 лет не нужен^[link1], а Vidalia нужна только для просмотра цепочек, старта бандла, и, возможно, смены личины. Раз у вас последнее не работает, наверное, не работает и всё остальное, тогда зачем нужна Vidalia?

— Гость (27/07/2013 17:24)   
Какой смысл в установке не всех частей tbb из репозитария? Что пытаетесь получить?

— Гость (27/07/2013 17:48)   
В репозитории Debian есть Tor Browser? По apt-cache search находятся только пакеты *torbutton, которые нельзя поставить, так как их видимо уже удалили из репозитория из-за перевода всех на отдельный браузер.

Главная цель – получить стандартный Tor Browser, где есть защита от профилирования (все как один) и HTTP-прокси на 8118 порту для Liferea (чтение RSS), для которого у меня установлен Polipo.

Меняю личность именно с помощью Vidalia, потому что в Torbutton эта возможность недоступна. Просто хочется узнать, правильно ли я всё сделал, или допустил какую-нибудь критическую ошибку в установке.

— Гость (27/07/2013 18:03)   
В общем удалил Дебиановские Tor с Vidalia, оставив только Polipo. При запуске Tor Browser Bundle программа для чтения RSS торифицируется с помощью Polipo, поставленным из репозитория. А я всё делал оказывается совсем неверно :)

— Гость (27/07/2013 18:07)   
Tor в TBB линкуется с более перспективными openssl и libevent. В различии библиотек проявляются различия в поведении клиентов. К примеру поддержка шифров. И если даже сейчас в репозитарии уже "свежая" версия openssl, то однажды стабильный дебиан может стабильно "отстать". TBB это не unix way, увы.
Может лучше добавлять polipo к оригинальному TBB?

— SATtva (27/07/2013 18:37)   

Vidalia нужна только для просмотра цепочек, старта бандла, и, возможно, смены личины

В последних альфа-версиях TBB не нужна даже Vidalia, все эти функции выполняются из браузера.

— Гость (27/07/2013 18:47)   

Если цель только в этом, то можно использовать стандартный TBB + цепляться к портам Tor другим софтом. Лучше, если без polipo. Есть соксификаторы же, tsocks всякий, proxychains, там и авторизацию можно задать. В общем, я бы как-то так делал, если б у меня встала подобная задача.

— Гость (27/07/2013 20:04)   
Спасибо за информацию.

— unknown (27/07/2013 23:45)   
Как только альфа станет стабильной придёться всерьёз поработать над этим документом^[link2]. Надеюсь, в сторону упрощения.

Из репозиториев самого Debian ставить tor категорически не рекомендуется, нужно ставить только путём подключения репозитория торпроджекта. Хотя в последнее время вроде ситуация поправилась и там общий девелопер, но всё в любой момент может скатиться к тому как раньше. А раньше команда Debian использовала для Tor такую же политику, как и для остальных пакетов: держала замороженную стабильную версию с бэкпортом security-fix'ов. Причём, часто с этим не справлялась и некоторые не самые критичные дыры оставляли непофикшеными, не говоря о профилировании пользователей с таким тором.

— Гость (28/07/2013 18:09)   
А при соксифицикации любой программы с помощью proxychains так и должно в журнал Vidalia флудить этими предупреждениями^[link3]? Можно просто не обращать внимание? С Polipo таких почему-то не наблюдал.

— Гость (28/07/2013 19:00)   
Лучше бы показали, что пишется во вкладке «дополнительно». И, да, не пользуйтесь русифицированными версиями.

Для proxychains советую применить этот фикс^[link4] и проверить руками, что DNS-запросы не утекают в сеть напрямую. Предполагаю, что Vidalia ругается на отсутствие DNS-запросов к ней, что она интерпретирует, как утечку DNS. Это не всегда означает реально такую утечку, но нужно быть внимательным.

P.S. Сегодня Tor-чекер выдал:

In order to implement a crucial fix, this update resets your HTTPS Everywhere rule preferences to their default values.

— unknown (28/07/2013 22:14)   
Потому что^[link5]:

3.3.1

• [Wikimedia] removed mixedcontent

3.3

• This major release fixed the following mixed content blocker (MCB) related bugs in time for Firefox 23:
  https://trac.torproject.org/projects/tor/ticket/9196
  https://trac.torproject.org/projects/tor/ticket/8774
  https://trac.torproject.org/projects/tor/ticket/8776
  
• In effect, this update disables rulesets that cause mixed content errors by default, and adds platform="mixedcontent" to 950 new rules. This is necessary to prevent a massive amount of websites from breaking by default for our users when Firefox 23 comes out.

— Гость (28/07/2013 22:33)   
Congratulations. Your browser is configured to use Tor.
Вроде все нормально.

— SATtva (28/07/2013 22:37)   

This is necessary to prevent a massive amount of websites from breaking by default for our users when Firefox 23 comes out.

К слову, они даже нас уведомили о предстоящем обновлении. Однако нам это ничем не грозит, никакого внешнего контента на сайте давно нет.

— Гость (28/07/2013 23:09)   

они даже нас уведомили о предстоящем обновлении.

На примере pgpru трудно что-то заметить в изменениях правил HTTPS Everywhere. Если они не включены, сайт сам редиректнет на https и юзер этого не заметит (разе что через Request Ppolicy?). Если же они включены, то обращение сразу будет идти по https. Так что https хоть так, хоть так. :-)

— SATtva (29/07/2013 08:42)   
[offtopic]
На pgpru https включен по умолчанию независимо от HTTPS Everywhere. Речь о другом: они предупредили о важном обновлении в FF 23, который по умолчанию не будет разрешать смешанный контент на https-сайтах, т.е. http-вставки просто не будут выполняться. Для многих сайтов (но не для нас) это означает полную неработоспособность.
[/offtopic]

— Гость (29/07/2013 10:22)   
В ttb, в HTTPS Everywhere поумочанию отключено использование SSL Observatory, а насколько вообще эта фича нужна?

— unknown (29/07/2013 10:48, исправлен 29/07/2013 10:48)   

Она полезна для "общества в целом", а не для конкретного пользователя и, к сожалению, несовместима с анонимностью. Эта фича помогает EFF автоматически выявлять фальшивые сертификаты, что иначе бы требовало бы ручных действий продвинутых пользователей.

— Гость (29/07/2013 20:29)   

Для proxychains советую применить этот фикс и проверить руками, что DNS-запросы не утекают в сеть напрямую.

После применения фикса пропала строчка про 53 порт^[link6], а вот остальные всё еще выводятся. Так и должно быть?

— Гость (29/07/2013 23:04)   
Вообще, когда tor-resolve выполнеяется proxychains'ом, я не знаю, что об этом будет думать Tor-клиент. В любом случае проверьте 53-ий порт снифером, предварительно отключив всё лишнее в системе:(вместо eth0 подставьте свой интерфейс, если он другой). Вообще, чтобы не гадать на кофейной гуще, лучше изучить правила iptables и заблокировать весь трафик, который идёт в обход Tor. Можно сделать по аналогии с этим^[link2] мануалом, но не тупо копипастить строчки, а пытаясь понять, зачем они нужны и как оно должно работать.

— Гость (29/07/2013 23:13)   

Здесь одно время назад обсуждались страницы авторизации крупных порталов, и многие из них имели проблемы [/comment43092^[link7], /comment66457^[link8]]. Неужели все эти порталы лягут после обновления firefox?

— Гость (29/07/2013 23:34)   
У Tor-чекера check.torproject.org сегодня что-то опыть проблемы.

— unknown (30/07/2013 10:00)   

У тех, у кого старая версия https-everywhere.


Да это регулярно бывает. Вроде, в новых версиях TBB планировалось как-то избавиться от привязки к этой странице. Возможно, ответ чекера будут давать сами некоторые узлы сети.

— Гость (31/07/2013 00:32)   

Понятно. Я-то подумал, что теперь сам firefox не будет допускать наличие смешанного контента на https-страницах, вот и спросил, что же тогда будет...

— SATtva (31/07/2013 07:34)   
Коллеги, я говорю именно о Firefox^[link9], который с версии 23 будет блокировать активное содержимое (в частности, js и css), передаваемое по HTTP, на HTTPS-сайтах. В случае HTTPS Everywhere проблема усугубляется тем, что он принудительно переводит пользователя на HTTPS-версию сайта, которая может быть неготова для такой работы — как вы знаете, в ряде случаев HTTPS Everywhere использует не очень широко известные режимы работы сайтов (как было поначалу с Википедией, например).

— Гость (02/08/2013 03:09)   
Насколько нормально то, что по умолчанию TBB играет звук; подаёт звуковые сигналы, если жмёшь куда-то не туда; ну и, естественно, проигрывает видео. Если не ходишь по звуковым и видеосайтам, стоит ли отключить звук и видео? Если да, то как?

— unknown (02/08/2013 11:09)   

А если эксит воткнёт в трафик микроскопический невидимый и неслышимый аудио и видеокод и по ответу распознает, что он у вас отключен, то подконтрольная кому-то группа экситов сможет делать профилирование.

— Гость (02/08/2013 11:46)   
Поидее сайт не должен знать, проигрывается ли реально его звук и видео, или игнорируется — это же внутренние настройки браузера, казалось бы. Я понимаю, что есть косвенные показатели (запрашивает ли браузер определённые элементы, скачивает ли их), но это не совсем то.