JavaScript vs. TOR
Правда ли, что есть такие JavaScript, которые могут узнать мой IP и др. информацию (какую?) и передать незаметно авторам сайта? Например, вместе с формой, которую я заполняю на сайте? Если "Да", то как это обнаружить? И можно пример скрипта?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
1. Вы должны при переходе на прокси или тор использовать отдельную конфигурацию браузера: не ту, под которой ходите не анонимно.
2. Если пункт 1 вы выполнили, то
a) Если вас не страшит то, что каждый из всей совокупности посещаемых вами анонимно сайтов (из под специального профиля) будут о вас знать всё то, что знают о вас и остальные (анонимно посещаемые) сайты, то JS для Вас безопасен (то есть, не может привести к вскрытию вашего IP).
b) Если вы не хотите, чтобы имелась возможность у каждого из анонимно вами посещаемых сайтов, знать о вас то же, что знают о вас и другие, посещаемые вами анонимно сайты, то для Вас JS опасен.
2. Если пункт 1 не выполнен:
a) Если JS и cookies отключены, при использовании прокси о вас не будут знать ничего (но вопрос об удобстве работы, и вопрос о большом количестве сайтов, с которыми вы тогда не сможете работать).
b) Если хотя бы одно из двух (JS или cookies) не отключены, разные анонимно посещаемые вами сайты потенциально могут обмениваться друг с другом информацией, которую они знают о вас (например, ваш логин, ваши посты, и, в том числе, ДАЖЕ ваш IP).
Теперь ясно?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Одно время над этим усиленно работал Georgi Guninski
Вообще распространение интерактивных языков в web, особенно там где в них нет никакой необходимости, это неибежное зло. Какими бы ограниченными правами они не обладали, вероятность появления дыры в них очень велика.
комментариев: 11558 документов: 1036 редакций: 4118
Зависит от надёжности браузера, опять же...
Дайте пож. ссылку на такой сервис
комментариев: 11558 документов: 1036 редакций: 4118
Если не шифровать трафик, то достаточно воспользоваться этим сайтом, а если нужно шифрование, то воспользоваться этим.
Ввести в предлагаемой строке линк сайта который хотите посетить. Правда, второй сайт будет тормозить в среднем больше :) Есть и другие сервисы. В общем, если вы сильно нужны админам то через какое-то время закроют доступ и к этим web-проксям – прийдётся искать другие. А если сильно будете упорствовать могут вынести предупреждение :-D
JS может заставить браузер (по крайней мере IE) законнектиться на сервер НАПРЯМУЮ, минуя настройки прокси
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Этого мало?
Есть специфическая проблема ещё такого популярного браузера как Файрфокс: он малополезен без плагинов-расширений, а их обновления никак не подписаны.
По умолчанию предлагается такая схема: все плагины лежат централизованно на https -сайте Mozill'ы, при старте файрфокса происходит проверка их обновлений (можно отключить автомат и делать это вручную), если есть обновление оно скачивается ... по http (!), а хэш-сумма для проверке с https, которой можно больше верить по сертификату соединения, затем у скачанного плагина перед установкой эта хэш-сумма сравнивается с вычисленным значением (т.е. ради какой-то дурацкой экономии сами плагины качаются по небезопасному каналу, а их контрольные суммы – по безопасному).
И сравнение суммы происходит ... через javascript, который если отключить, то в браузер можно будет ставить левые обновления. Если браузер настроен на работу через tor, то это может сделать любой злонамеренный исходящий узел сети.
Поэтому в файрфокс разработчики tor рекомендуют использовать плагин torbutton, который частично и незначительно фильтрует javascript, но не рекомендуется отключать JS полностью.
Для других браузеров аналога torbutton к сожалению нет, который фильтрует утечки информации лучше privoxy, кроме того делает это на стороне самого браузера, что решает проблему утечек через https, который privoxy (и другие proxy) фильтровать не могут.
Так что достаточно вставить на страницу https ссылку на невидимую картинку и privoxy в плане фильтрации становится бесполезен, он годися только для перенаправления трафика в tor.
Пример для opera – в студию!
Либо ссылку на оригинал исследования.
Фильтрация не так уж важна, или вы хотите сказать что произойдёт утечка которая может дискредитировать анонимность? Что такого браузер может послать по https?