JavaScript vs. TOR

А мой первый постинг Вы видели? Если браузер не такой дырявый и идиотский, как Internet Explorer, то не может. Javascript исполняется в браузере, поэтому может сделать всё, что прямо или косвенно браузер ему позволит.

1. Вы должны при переходе на прокси или тор использовать отдельную конфигурацию браузера: не ту, под которой ходите не анонимно.

2. Если пункт 1 вы выполнили, то
a) Если вас не страшит то, что каждый из всей совокупности посещаемых вами анонимно сайтов (из под специального профиля) будут о вас знать всё то, что знают о вас и остальные (анонимно посещаемые) сайты, то JS для Вас безопасен (то есть, не может привести к вскрытию вашего IP).
b) Если вы не хотите, чтобы имелась возможность у каждого из анонимно вами посещаемых сайтов, знать о вас то же, что знают о вас и другие, посещаемые вами анонимно сайты, то для Вас JS опасен.

2. Если пункт 1 не выполнен:
a) Если JS и cookies отключены, при использовании прокси о вас не будут знать ничего (но вопрос об удобстве работы, и вопрос о большом количестве сайтов, с которыми вы тогда не сможете работать).
b) Если хотя бы одно из двух (JS или cookies) не отключены, разные анонимно посещаемые вами сайты потенциально могут обмениваться друг с другом информацией, которую они знают о вас (например, ваш логин, ваши посты, и, в том числе, ДАЖЕ ваш IP).

Теперь ясно?

Ещё к своему ответу добавлю, что речь идёт только о том, что JS не может в обычной ситуации определить IP. Но как уже не раз было сказано в этой теме, JS может успешно определять уйму других индивидуальных параметров системы. Насколько это для Вас критично, постарайтесь определить сами, исходя из материалов обсуждения.

Спасибо за ответы. Понял.

Была масса эксплойтов, которые легко позволяли с помощью JS выполнить произвольный код на системе с правами пользователя или получить доступ на чтение каких-либо посторонних данных.

Одно время над этим усиленно работал Georgi Guninski

Вообще распространение интерактивных языков в web, особенно там где в них нет никакой необходимости, это неибежное зло. Какими бы ограниченными правами они не обладали, вероятность появления дыры в них очень велика.

Была масса эксплойтов, которые легко позволяли с помощью JS выполнить произвольный код на системе

Зависит от надёжности браузера, опять же...

Где-то видел сервис, который показывает не только стандартную инфу для подобныхсервисов(мой ip, браузер, ос), но и можно было увидет другую инфу, а именно что можно узнать обо мне с помощью js, flash и т.д.
Дайте пож. ссылку на такой сервис

Дима, не совсем то, что нужно, но для проверки сойдёт. Смотрите в комментариях внизу страницы, там есть ссылка на POC.

Подскажите пожалуйста! На работе закрыли доступ к некоторым сайтам! Как можно обойти эту защиту?

Подскажите пожалуйста! На работе закрыли доступ к некоторым сайтам! Как можно обойти эту защиту?

Если не шифровать трафик, то достаточно воспользоваться этим сайтом, а если нужно шифрование, то воспользоваться этим.
Ввести в предлагаемой строке линк сайта который хотите посетить. Правда, второй сайт будет тормозить в среднем больше :) Есть и другие сервисы. В общем, если вы сильно нужны админам то через какое-то время закроют доступ и к этим web-проксям – прийдётся искать другие. А если сильно будете упорствовать могут вынести предупреждение :-D

к сожалению, не всё так безопасно
JS может заставить браузер (по крайней мере IE) законнектиться на сервер НАПРЯМУЮ, минуя настройки прокси

Не путаете с Java? Или это какое-то особое расширение языка в IE? Можете привести пример или ссылку на описание соответствующих методов/функций?

JS-реализации во всех браузерах, как можно заметить по различным security-рассылкам имеют множество дыр, 0-day эксплойтов на исполнение произвольного кода, которые даже в FOSS остаются незамечеными годами.

Этого мало?

Есть специфическая проблема ещё такого популярного браузера как Файрфокс: он малополезен без плагинов-расширений, а их обновления никак не подписаны.

По умолчанию предлагается такая схема: все плагины лежат централизованно на https -сайте Mozill'ы, при старте файрфокса происходит проверка их обновлений (можно отключить автомат и делать это вручную), если есть обновление оно скачивается ... по http (!), а хэш-сумма для проверке с https, которой можно больше верить по сертификату соединения, затем у скачанного плагина перед установкой эта хэш-сумма сравнивается с вычисленным значением (т.е. ради какой-то дурацкой экономии сами плагины качаются по небезопасному каналу, а их контрольные суммы – по безопасному).

И сравнение суммы происходит ... через javascript, который если отключить, то в браузер можно будет ставить левые обновления. Если браузер настроен на работу через tor, то это может сделать любой злонамеренный исходящий узел сети.

Поэтому в файрфокс разработчики tor рекомендуют использовать плагин torbutton, который частично и незначительно фильтрует javascript, но не рекомендуется отключать JS полностью.

Для других браузеров аналога torbutton к сожалению нет, который фильтрует утечки информации лучше privoxy, кроме того делает это на стороне самого браузера, что решает проблему утечек через https, который privoxy (и другие proxy) фильтровать не могут.

Так что достаточно вставить на страницу https ссылку на невидимую картинку и privoxy в плане фильтрации становится бесполезен, он годися только для перенаправления трафика в tor.

к сожалению, не всё так безопасно
JS может заставить браузер (по крайней мере IE) законнектиться на сервер НАПРЯМУЮ, минуя настройки прокси

Пример для opera – в студию!
Либо ссылку на оригинал исследования.

проблему утечек через https, который privoxy (и другие proxy) фильтровать не могут.

достаточно вставить на страницу https ссылку на невидимую картинку и privoxy в плане фильтрации становится бесполезен

Фильтрация не так уж важна, или вы хотите сказать что произойдёт утечка которая может дискредитировать анонимность? Что такого браузер может послать по https?