Как анонимизировать J, JS?
Известно, что при работе через сеть Tor реальную угрозу представляют атаки через J, JS. В связи с этим рекомендуется отличать их при работе. Однако же, многие ресурсы неработоспособны при работе без JS, некоторые требуют J.
Как сделать так, чтобы можно было использовать J, JS без угрозы деанонимизации?! (читал, что можно "завернуть" весь трафик на прокси через фаервол, даже получил от техподдержки юзаемого мною фаервола как сконфигурировать для этого правила, однако на практике получился разрыв соединения с инетом, ничего более умного они мне сообщить не смогли, сообщили, что отправили проблему разработчикам, только уже больше месяца никакого ответа нет).
И еще. Нашел такой тест http://www.proxyblind.org/javaip.shtml, достаточно интересный. Показал следующие результаты при работе через Tor:
1) Атака через J, моделируемая этим тестом, полностью меня деанонимизировала. Был показан мой реальный IP, наименование провайдера etc. Полный пепец!
2) Атака через J, моделируемая этим тестом, при включенном JS и выключенном J не дала результата, т.е. анонимность была сохранена.
При включенных и J, и JS, показала внутренний IP типа 168.192.1.1. Такой IP пусть воруют, скручивают в трубочку бумажку с его распечаткой и засовывают себе в одно место.
3) Другие тесты, надо сказать, при включенных J и JS не выявили использование прокси, написали, что или вы ее не используете, или юзаете высокоанонимную прокси. Обнадеживающая характеристика Tor+Privoxy, конечно, однако последние информации о деанонимизации посредством разных атак конечно напрягают. Может ложь, но кто его знает? Кругом враги и шпионы!
В связи с результатами этого теста возникают также следующие вопросы:
1) обеспечение анонимости при использовании J представляется очень актуальным. как это обеспечить?
2) возможно ли при других атаках получение внешнего IP при атаках через JS? Если нет, то получается, что при выходе в инет через маршрутизатор из ЛВС JS угрозы не представляет.
3) обязательно ли для получения ip при атаке через JS чтобы был включен также J? Если да, то получается что включенный JS при выключенном J вроде бы не должен деанонимизировать.
И еще такой вопрос. Когда проходил тесты, смотрел на соединения в журнале фаервола. Там отмечалась сетевая активность только tor, privoxy и браузера. Активность J и JS в журнале не отражалась. Как тогда соединяются J и JS, не только в обход Tor и Privoxy, но и в обход фаервола?
Один на стороне браузера, другой на сервере.
Как вам удалось выключить "J"? ("J" на стороне сервера.)
Или что такое "J" ?
комментариев: 9796 документов: 488 редакций: 5664
Они относятся к контексту браузера.
А теоретически в браузере может быть дыра например при обработке картинок, или ссылок какого-то специально кривого вида, которая даёт возможность запуска исполняемого кода. Тогда отключать что-либо бесполезно, пока дыру не пофиксят.
А почему тогда не отражались соединения браузера непосредственно с какими-то другими ip, кроме 127.0.0.1?
комментариев: 9796 документов: 488 редакций: 5664
Разве внешний ip известен моей машине? Или она ява как через машину в маршрутизатор тоже залазит?!
комментариев: 9796 документов: 488 редакций: 5664
Можно, но сложно. Для этого понадобятся тонкие глубокие настройки и понимание того как оно всё работает. Поднимается файерволл с извращённым правилами и извращённым рутингом на Linux. Организуется чрут для запуска браузера. Включается запрет на уровне ядра на выполнение всех команд которые могут позволить юзеру, из подкоторого запускается браузер, узнать ip типа ifconfig и прочих. На файерволле принудительно весь трафик от нужно юзера рутится в тор.
Наиболее просто это организовать когда есть две машины: одна – рабочая, у которой есть только виртуальный IP, и которая выходит в сеть через сервер, где стоит файерволл, силком заворачивающий трафик в тор. Соединение между локальной машиной и таким сервером должно быть по VPN и всё остальное резаться.
При желании на продвинутых системах можно организовать всё и на одной машине, но мне совершенно не очевидно что это можно будет сделать где-либо кроме Linux. Возможно, прийдётся поиметь секс с политиками мандатного доступа на Linux типа SeLinux'а.
Задача эта, хоть и интересная, вроде бы не описана в стандартных руководствах.
P. S.: джаву по самом деле запрещают не только потому что "она позволяет выполнить код на стороне колиента легитимным образом" но и нелегитимным. Когда мне всё-таки пришлось поставить JRE все существующие версии были дырявы. Вот и сейчас, далеко ходить на надо:
Именно поэтому в open-source-коммунити java'у не любят, не уважают, не инсталлируют и если и держат, то только далеко/глубоко в чруте/песочнице. На джаве пишут только ублюдки. Если угодно, отказ от джавы – скорее более политическое решение в силу всего этого, а не технические сложности, как это некоторым кажется.
комментариев: 9796 документов: 488 редакций: 5664
Ну может и не ублюдки, но упёртые *** точно. Именно привязка разработчиков к java-клиенту мешает использовать такие анонимные сети как I2P, Freedom.
Вопрос действительно политический.
Восемь лет кажется от компании Sun непрерывно требовали отдать Java под GPL.
До того момента её нельзя было включать в свободные дистрибутивы и самомостоятельно фиксить баги кому-либо кроме Sun.
Когда они в 2006-2007 году постепенно и с неохотой после многочисленный отнекиваний перевели весь java-код под GPL, было уже слишком поздно. Коммьюнити вокруг этого стандарта не было сформировано, ковырять код написанный когда-то закрытым образом и развивать это стандарт особо желающих нет.
В свободных системах java пока не приживается.
Да, как раз хотел сказать о том что фринет написан на джаве.
У меня один из инет-банкингов без говноjava не работает
комментариев: 1060 документов: 16 редакций: 32
комментариев: 371 документов: 19 редакций: 20
А может ли ява код выполняемый под виртуальной машиной составить фингерпринт системы (серийные номера проца или другово железа)?
Стыдно признаваться в собственном ламеризме, но не подскажете, где что-то можно почитать о том, как устанавливать и юзать ВМ?