Во-перых, [:||||||:], а во-втоорых – [:|||Z||:] (порватый).

Есть предположение, что многие реквизиты доступа передавались через Tor-узлы Эгерстада не самими их владельцами, а взломщиками, скрывающимися от обнаружения с помощью Tor'а. Кто эти взломщики — вопрос открытый. Не исключено (учитывая, что значительную долю этих реквизитов составляли почтовые аккаунты некоммерческих правозащитных организаций и сотрудников посольств ряда стран), что это могут разведывательные агентства тех или иных государств.

Сам Эгерстад был пару недель назад арестован. Вообще его поведение вызывает серьёзные вопросы. Вначале он заявлял, что не читал трафик, а целенаправленно перехватывал реквизиты доступа (т.е. на иной трафик как бы и не смотрел). Потом в одном из интервью после скандала с публикацией паролей заявил (подозреваю, что обоснованно), что бОльшую часть Tor-трафика составляет банальное порно. Выходит, трафик он всё-таки читал? Это уже незаконно. Поделом ему.

Почему это? Трафик идет через мой сервер, значит я имею право его читать.
Устанавливая TOR я не подписываю никаких договоров и не принимаю на себя никаких обязательств относительно приватности трафика.
Тот кто использует TOR должен иметь голову на плечах и учитывать возможные риски, а не надеяться на честность exit nodes или на правовую защиту.

трафик он всё-таки читал? Это уже незаконно.

То есть если бы он читал только реквизиты доступа, это было бы законно?

А если он читал только IP адреса?

И вообще, могут ли меня арестовать, если я читаю открытки, которые разношу как благотворительную помощь совершенно бесплатно, не будучи почтовым служащим, и при этом отправителям открыток известно об это возможности?

Перлюстрация коммуникаций (за исключением санкционированной судом или иным полномочным органом власти) противозаконна в большинстве стран мира и не имеет никакого морального оправдания. То, что Вы способны это делать технически, не значит, что это следует делать. Иначе можно было сказать: Ваш трафик идёт через сервер провайдера, значит тот имеет право его читать. Загляните в свой договор на предоставление доступа: разве там есть положение, что провайдеру запрещено это делать?

И вообще, могут ли меня арестовать, если я читаю открытки, которые разношу как благотворительную помощь совершенно бесплатно, не будучи почтовым служащим, и при этом отправителям открыток известно об это возможности?

Тайна связи подразумевает, что содержание сообщений может стать Вам известно в силу служебной необходимости, но в таком случае Вы не имеете права разглашать эту информацию или использовать её для собственной выгоды.

Эгерстада арестовали не за чтение (на самом деле точной причины я не знаю; он утверждает, что его только запугивали). Он опубликовал перехваченные реквизиты доступа. Считаете, он имел право делать это даже после контакта с предполагаемыми владельцами аккаунтов и неполучения от них ответа?

То есть если бы он читал только реквизиты доступа, это было бы законно?

Неудачная формулировка. Учёный вправе проводить любые исследования, какие считает нужным. Он вправе публиковать результаты своих опытов. Но это не значит, что предавать огласке нужно исходные данные (как если бы в результатах медицинских исследований ВИЧ/СПИДа приводились фамилии пациентов из контрольных групп).

Не запрещено, и провайдеры это регулярно делают, чему я знаю несколько примеров.

И вобще, дураков надо учить. Если многие раньше не оценивали вероятность утечки данных через TOR как реальную, то сейчас задумаются. Так что все это идет на пользу.

И вобще, дураков надо учить.

А слабых – бить?

Мое личное мнение, что попытка привязать к владелькам exit-nod тор нормы по защите тайны пользователей выглядят слишком формальными и смахивают на двойной стандарт.
Никто с ними контракта не подписывал. Потом из таких благих намерений (осуществление которых проконтролировать всё равно невозможно), операторов исходящих узлов приравнивают к провайдерам, которые обязаны хранить логи и выполнять прочие обязательства, которые по отношению к ним абсурдны.

Соблюдать тайну пользователей – это просто рекомендация владельцам исходящих узлов не искать себе лишний повод для трений с законом. Это не согласуется с фактической природой сети (tor-cloud, darknet). А пользователям нужно понимать, что tor даёт только обмен в защите трафика от конкретного наблюдателя на случайного и принимать все риски на себя (используя связь по SSL со строгой проверкой от подмены сертификатов и шифруя почту OpenPGP, например).

Обязательно. Пускай становятся сильными. Слабых били, бьют и будут бить – это закон жизни.

Кстати, были ли зарегистрированы попытки ssl mitm атак в сети TOR?

используя связь по SSL со строгой проверкой от подмены сертификатов, например

Звучит красиво, ток это... Примерно так же как "Летать российскими авиалиниями внутри России – опасно, используйте только зарубежные" :-)))
Вы вообще осознаёте, что на 99.99% сайтов SSL нет и заставить админов его использовать не получится? Потому открытым текстом, естественно, идёт всё... Максимум на что можно надеяться – это на PGP-подписи/шифрование.

Мое личное мнение, что попытка привязать к владелькам exit-nod тор нормы по защите тайны пользователей выглядят слишком формальными и смахивают на двойной стандарт. Никто с ними контракта не подписывал.

Я говорю лишь о моральной стороне вопроса. В конечном счёте, выбор "читать или не читать?" каждый оператор принимает сам. Но и каждый должен понимать, что, сделав неправильный выбор и попав впоследствии в щекотливую ситуацию, никакой общественной поддержки он уже не получит.

Кстати, были ли зарегистрированы попытки ssl mitm атак в сети TOR?

Ссылок не приведу, но в or-talk были неподтверждённые сообщения о подменах SSL-сертификатов и SSH-ключей. Это настолько элементарная задача, что было бы странно, не проводи кто-то подобных экспериментов хотя бы в целях собственной эрудиции.

Вы вообще осознаёте, что на 99.99% сайтов SSL нет и заставить админов его использовать не получится?

На нашем сайте тоже когда-то не было, но ведь потом сделали... Кстати, по предложению именно unknown'а. Возможно, сработало какое-то его личное обаяние. :-) Может ему поручить агитирование веб-мастеров Рунета?

На нашем сайте тоже когда-то не было, но ведь потом сделали...

Ну может за всю жизнь раз-два я и сам добился того что на некоторых сайтах SSL возник...
Однако, зачастую всё начинается с того что "а зачем вообще что-либо шифровать? Если власти или злоумышленники сильно захотят – всё равно найдут, а глобальных секретов у нас нет..."
На такой фразе разговор и кончается :-)
Зачем нужна криптография не учат нигде... массово, как обязательный курс.... В итоге, например, люди мнят что они много понимают, а вот смысл всплывающего окна предупреждения при заходе на сайт по SSL объяснить не могут... (Зато порой объясняют смысл fork() :-)

Обязательно. Слабых били, бьют и будут бить – это закон жизни.

Вопрос ведь о должном, а не о том что есть. Да и если бы так было всегда и везде, то ничего бы уже не было. А ответственность за такой "закон жизни" лежит конкретно на тех, кто его утверждает как должное.