29.10 // Уязвимость в opera: элементарная деанонимизация при работе в Tor
Уязвимость, присутствующая в браузере opera, позволяет деанонимизировать любого пользователя, работающего по http/https, посредством специально сформированной web-страницы, если в настройках не включена опция "использовать прокси для локальных серверов". В opera 9.61 (под Windows) Функция, проверяющая адрес на предмет локальности/удалённости, считает все адреса удалёнными, кроме следующих:
- 10.x.x.x
- 127.x.x.x
- 172.{1,2,3}.x.x
- 192.168.x.x
- произвольная строка, не содержащая точек, например http://qwerty, http://1 или http://1123637608.
Однако, согласно распространённой практике, не являющейся стандартом, адреса вида http://число также могут быть истолкованы как десятичное представление IP-адреса, например: 66.249.89.104 (IP гугла) --> 1123637608 = 66*256^3+249*256^2+89*256+104. Opera, соответственно, расценивает такой адрес как локальный. Итак, если ссылка имеет вид http://1123637608, а опция "использовать прокси для локальных серверов" не включена, то соединение с гуглом произойдёт минуя настройки прокси. Для эксплуатации уязвимости достаточно вставить в HTML-страницу (например, CSS) следующий код:
В этом случае соединение с самим сайтом произойдёт через прокси, а картинка pic.jpg и стилевой файл будет запрошена с гугла напрямую, минуя настройки прокси.
Предположительно, уязвимости подвержены все версии opera. Для нивелирования ошибки в старых версиях opera'ы (информация не проверена!), следует, предварительно выйдя из программы, прописать в файле конфигурации (Opera6.ini или OperaDef6.ini):
Стоит отметить, что включение опции "использовать прокси для локальных адресов" было бы необходимо вне зависимости от наличия указанной выше уязвимости, ибо отсутствие опции открывает путь для атак со стороны злонамеренных серверов локальной сети, среди которых вполне может оказаться и сам узел ISP. Поскольку, как ожидается, у многих эта опция уже была включена из вышеназванных соображений, массовой деанонимизации из-за уязвимости не ожидается.
В качестве противодействия подобному виду угроз, рекомендуется настроить файерволл таким образом, чтобы принудительно отправлять весь трафик с браузера, а также opera mail, только на IP:порт прокси. Естественно, что вышесказанное верно для настроек любой прокси, в том числе и privoxy. Firefox, как утверждается, не подвержен этим уязвимостям, однако аналогичные превентивные меры в отношении как него, так и других программ, работающих с сетью через прокси/Tor, нивелируют последствия от подобных ошибок в будущем. Настройка файерволла для фильтрации по приложениям (например, xauth+authpf+PF+tor в BSD), уже обсудавшаяся на pgpru.com, оказалась как никогда кстати.
Предоставленный материал частично основан на источнике http://eqt5g4fuenphqinx.onion/talk/1783, однако, не подтверждает всех предоставленных им фактов.
Доступ к источнику через гейт с обычного интернета: https://www.awxcnx.de/cgi-bin/proxy1/nph-proxy.cgi/000000A/http/eqt5g4fuenphqinx.onion/talk/1783
Дело в том,что адреса,куда лезет опера известны и принадлежат различным примочкам оперы.А панику поднимают те кто лениться иногда почитать "доки-факи" .Opera mini для мобил работает через серваки типа *.opera-mini.net и разумеется "privacy" ноль ,но никто не возмущается.На самом деле для меня функции Opera не плохи и удобны,но реализовать их надо в виде плагинов,чтобы в коде самой оперы
и в помине не было автообнвления,проверки на мошенников и т.д. и тогда особо впечатлительные
могли бы просто сносить плагины и радоваться :-)ИМХО .Кстати примочка опера-турбо на модеме реально увеличивает скорость и вся эта тема работает через серваки оперы ,типа как в мини для мобил. Вообщем как-то так хотелось высказаться
:-)
з.ы кстати в 10.70 появилась геолокация,которая тоже деаномизирует IP .А описывая настройки operaprefs.ini забыл упомянуть (это я к тому,что надо изучать возможности софта постоянно,а не однократно).
[Geolocation]
Enable geolocation=0
Ну а наблюдая и читая логи FW за последние 2года я не видел ,чтоб в Opera ,были закладки,хотя она может спит до часа Х,например войны с Норвегией :-).
-:)))))))))))))))))) из-за банальности и происходят взломы !!!!!
ООО!! Я не о Linux говорил.Господи,бляха-муха, моя ошибка линукс тронуть.Кошмар. Почитайте мой коментарий повнимательнее и не вырывайте из контекста ,О чем я говорил. Охренеть,цитатами от "бога" Линуса Т. пошли сыпать (он же сам так о себе говорит).
Как обычно с Оперы на Линух.
з.ы. Вы знаете я уважаю Slackware и WinXP,обе среды стоят на компе.
Каждая делает свою работу на 4 и 5 доволен обеими средами .Спорить про Опен-клоз сырцы – глупо и бесполезно.Я сторонник того ,что мир полярен и всегда будет "-" и "+" иначе хана !!!!
Успехов и до свидания бай бай !!!!
СпоритьРассуждать и думать про <что угодно> – глупо и бесполезно, поскольку всегда будут альтернативные мнения.Вот интересно, isuser ограничивал ли браузер одними лишь локалхостовыми адресами или кроме портов ничего не запрещалось, и запрос из браузера может теоретически так "обойти" прокси, что не застрянет на файрволле желая подключения к адресу google.com:8118?
pass out on lo0 inet proto tcp from localhost to localhost port {8118,9050} user tor_user
комментариев: 9796 документов: 488 редакций: 5664
http://archives.seul.org/or/talk/Dec-2010/msg00068.html
http://archives.seul.org/or/talk/Dec-2010/msg00069.html
Вот такая официальная позиция Роджера по вопросу по поводу браузеров, не исследуемых на безопасность Tor-прожектом. Времена, когда можно было надеяться на privoxy, прошли.
А вот когда и в чем провинился privoxy не очень.Можно об этом подробнее?
privoxy+tor:
Аrora не то чтобы не проходит вышеуказанный тест на JonDos,но просто отказывается его проходить )
privoxy+tor-torbutton:
тест Firefox на JonDos ничего подозрительного не выявил.
Может кто-нибудь поделиться своими наблюдениями?
комментариев: 9796 документов: 488 редакций: 5664
Да ничем таким. Он просто перестал быть актуальным. Поначалу думали лишь о заворачивании трафика через локальный прокси в Tor и о борьбе с утечками DNS-запросов, вот privoxy активно и советовали.
А сейчас понятно, что он принципиально не фильтрует https, не приводит пользователей к единому профилю, так как не синхронизируется с проектом Tor и т.д. Так что связка "абы-какой браузер + privoxy" может не прокатить.
для разработчиков Tor-прожекта,что огорчает,ибо
инструмент гибкий и альтернатива кнопке 'сделай мне гут'.С другой стороны,дай им сил укротить такого монстра,как FF.
А кто фильтрует https и так ли важно приводить пользователей к единому профилю?
Подмену useragent по https умеет,к примеру, User Agent Switcher,(FF's extension).
Ничто не мешает прописать торбатоновские(как и любые другие) значения в нем и в конфиге привокси.