Как анонимизировать J, JS?

Известно, что при работе через сеть Tor реальную угрозу представляют атаки через J, JS. В связи с этим рекомендуется отличать их при работе. Однако же, многие ресурсы неработоспособны при работе без JS, некоторые требуют J.
Как сделать так, чтобы можно было использовать J, JS без угрозы деанонимизации?! (читал, что можно "завернуть" весь трафик на прокси через фаервол, даже получил от техподдержки юзаемого мною фаервола как сконфигурировать для этого правила, однако на практике получился разрыв соединения с инетом, ничего более умного они мне сообщить не смогли, сообщили, что отправили проблему разработчикам, только уже больше месяца никакого ответа нет).
И еще. Нашел такой тест http://www.proxyblind.org/javaip.shtml, достаточно интересный. Показал следующие результаты при работе через Tor:
1) Атака через J, моделируемая этим тестом, полностью меня деанонимизировала. Был показан мой реальный IP, наименование провайдера etc. Полный пепец!
2) Атака через J, моделируемая этим тестом, при включенном JS и выключенном J не дала результата, т.е. анонимность была сохранена.
При включенных и J, и JS, показала внутренний IP типа 168.192.1.1. Такой IP пусть воруют, скручивают в трубочку бумажку с его распечаткой и засовывают себе в одно место.
3) Другие тесты, надо сказать, при включенных J и JS не выявили использование прокси, написали, что или вы ее не используете, или юзаете высокоанонимную прокси. Обнадеживающая характеристика Tor+Privoxy, конечно, однако последние информации о деанонимизации посредством разных атак конечно напрягают. Может ложь, но кто его знает? Кругом враги и шпионы!

В связи с результатами этого теста возникают также следующие вопросы:
1) обеспечение анонимости при использовании J представляется очень актуальным. как это обеспечить?
2) возможно ли при других атаках получение внешнего IP при атаках через JS? Если нет, то получается, что при выходе в инет через маршрутизатор из ЛВС JS угрозы не представляет.
3) обязательно ли для получения ip при атаке через JS чтобы был включен также J? Если да, то получается что включенный JS при выключенном J вроде бы не должен деанонимизировать.

И еще такой вопрос. Когда проходил тесты, смотрел на соединения в журнале фаервола. Там отмечалась сетевая активность только tor, privoxy и браузера. Активность J и JS в журнале не отражалась. Как тогда соединяются J и JS, не только в обход Tor и Privoxy, но и в обход фаервола?

На страницу: 1, 2 След.

Комментарии

—	*Гость* (05/03/2008 23:08) <#>

где что-то можно почитать о том, как устанавливать и юзать ВМ?

Погуглите по словам qemu и vmware.

—	ygrek (05/03/2008 23:33) профиль/связь <#> комментариев: 98 документов: 8 редакций: 10

В интересном докладе 24C3 – DNS Rebinding And More Packet Tricks помимо прочего, упоминается что в java можно получить прямой доступ к сокетам (через баги в JVM)

—	SATtva (07/03/2008 12:43) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Люди, давно уже есть специализированные системы типа JanusVM. Такая виртуальная машина действует как локальный сетевой шлюз (имеющий выход только в Tor), за которым можно использовать практически любое ПО без риска раскрытия IP (ибо его ваша система просто не знает).

—	ntldr (07/03/2008 13:12, исправлен 07/03/2008 13:14) профиль/связь <#> комментариев: 371 документов: 19 редакций: 20

А может ли ява код выполняемый под виртуальной машиной составить фингерпринт системы (серийные номера проца или другово железа)?

Серийного номера у проца нет с времен pentium 3, а у p3 он отключается программно, настройкой в bios. Максимум что можно узнать изнутри вм – это модель проца и его частоту. Железо у вм свое, виртуальное.

—	*Гость* (02/05/2009 00:48) <#>

Выбирая BitTorrent клиент наткнулся в блоге blog.torproject.org на такую информацию:

Если Вы используете Tor для уклонения от цензуры, а не для анонимности, Вам лучше использовать клиент Azureus / Vuze, который поддерживает шифрование.

А на Википедии:

Vuze (старое название — Azureus) — свободное кроссплатформенное программное обеспечение для работы с файлообменными сетями по протоколу BitTorrent с поддержкой анонимного обмена данными по протоколам I2P и Tor. Написан на языке Java... для работы Azureus в системе необходима (!) установленная JAVA

Чувствуется какое-то противоречие, но не могу понять какое.

—	SATtva (02/05/2009 07:47) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Противоречия здесь нет. Одно дело — опасаться java-приложений, исполняемых в браузере как внедрённые объекты веб-страницы (фиг знает, как такое приложение реализовано и с какими целями), и совсем другое — как относиться к самостоятельной программе, языком реализации которой является java. Java сама по себе угрозы не несёт. Проблемы возникают в контексте конкретного применения.

—	*Гость* (02/05/2009 10:58) <#>

Выбирая BitTorrent клиент наткнулся в блоге blog.torproject.org на такую информацию:

Лучше бы ссылку на всю информацию кинули, целиком.

https://blog.torproject.org/bl.....-is-slow#comment-831

Анонимус друг человеков. Его главая мысль была:

educate people about why they should not use Tor with bittorrent

Все что дальше это полумеры, или использование более прочных (i2p) костылей к торрент-клиенту.

Ну а через тор пойдет (Vuze оберегает нервы пользователей) только связь с треккером, п2п будет прямой хоть и шифрованный.

—	DDRTL (02/05/2009 13:45) профиль/связь <#> комментариев: 212 документов: 27 редакций: 20

лучше вообще джаву отключить)

—	*Гость* (04/05/2009 09:07) <#>

можно использовать практически любое ПО без риска раскрытия IP (ибо его ваша система просто не знает).

А если оно пошлёт запрос на ShowMyIP.com?

—	SATtva (04/05/2009 09:13) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Кто "оно"?

—	*Гость* (04/05/2009 18:23) <#>

Оно – "практически любое ПО ПО". Если подключение через Tор, то раскрыть IP таким образом не получится – ShowMyIP.com покажет адрес последнего в цепочке tor-сервера, а не ваш.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]