Tor и настройка Антивирус Касперского (7.0.0.125)

У меня стоят DrWeb, Outpost и LinkScanner от Exploit Prevention Lab и таких проблем не возникает в принципе.
На мой взгляд, Каспер – вообще отстой, с большей частью проблем не справляется только в лучшем случае детектирует и пожирает хренову тучу ресурсов системы.
А тут еще, я так понимаю, в новой версии надо кучу настроек устанавливать для работы с Tor и проксями?

У вас при работе Tor DrWeb проверяет страницы?
А то у меня при запуске Tor – в отчете Веб-Антивируса прекращается добавление новых веб-страниц и в журнале Outpost пропадет процесс avp.exe.

Подробности как работает антивирус.
Каждая веб-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу HTTP, перехватывается и анализируется Веб-Антивирусом на присутствие вредоносного кода.
Если веб-страница или объект, к которому обращается пользователь, содержат вредоносный код, доступ к нему блокируется.
Если файл или веб-страница не содержат вредоносного кода, они сразу же становятся доступны для пользователя.
Веб-защита предусматривает контроль HTTP-трафика, проходящего только через порты, указанные в списке контролируемых портов.
При запуске любого из компонентов приложение Антивирус Касперского открывает на прослушивание всех входящих соединений порт 1110. В случае если данный порт в этот момент занят каким-либо приложением, для прослушивания выбирается порт 1111, 1112 и т.д.
Например, процесс iexplorer.exe, устанавливает соединение на порту 80. Однако Антивирус Касперского, перехватывая запрос на соединение, инициируемое процессом iexplorer.exe на порту 80, передает его процессу avp.exe, который, в свою очередь, пытается самостоятельно установить соединение с запрашиваемой веб-страницей.

Каждая веб-страница или файл, к которому происходит обращение пользователя или некоторой программы по протоколу HTTP, перехватывается и анализируется Веб-Антивирусом на присутствие вредоносного кода.

А обычные SSL-страницы он тоже проверяет? ;-) Разумеется, когда Вы используете Tor, антивирус не сможет, работая в прокси-режиме, проверять все загружаемые из интернета файлы: трафик-то зашифрован.

Веб-защита предусматривает контроль HTTP-трафика, проходящего только через порты, указанные в списке контролируемых портов.

А добавлять в список контролируемых портов 8118, 9050 не пробывали?

9050 вроде как бесполезно — трафик на нём шифрованный в обоих направлениях. 8118 (если используется Privoxy) — возможно, если Касперский не возражает работать с портами, на которых висят только локальные клиенты.

А обычные SSL-страницы он тоже проверяет? ;-)

Как ни странно, да. Я не в курсе деталей. Он фактически проводит MITM. Перехватывает сертификат, отправляемый сервером, а клиенту (например, броузеру) отдаёт свой. Обычно появляется предупреждение о плохом сертификате, но пользователи его не читают. Таким образом KIS видит даже "зашифрованный" трафик и может проверять его.

А вообще по поводу этого топика... Там в FAQ появился подходящий пункт :-)

А если я проведу настоящий MITM и отдам юзеру сертификат, похожий на KIS'овский? Боже, как это убожище используют?!

Во времена 2004-2006ых годов пользовался Касперским. В подробности не копал, но свою работу на тот момент антивирус выполнял, всё находил и лечил. На том же компьютере стояли DrWeb, МакКафи (иил как его там?), и те ничего не могли сделать с рядом вирусов, в отличие от Касперского (возможно был и иобратные прецеденты но лично я с ними не сталкивался). Сейчас, конечно, всё могло сто раз смениться, я этот антивирь с тех пор не видел, ибо "пункт".

Во всяком случае, это имхо никак не отменяет предыдущих посто в этом топике... И насчёт MITM, дело здесь не только в самой технологии, но и вообще в идее "доверять анонимный трафик какому-то Касперскому?", это как себе самому на комп руткит ставить.

А если я проведу настоящий MITM и отдам юзеру сертификат, похожий на KIS'овский?

Тогда заругается сам дядя Женя, и если "ползатель" проигнорирует и его, тогда касперский сам вылезет из монитора и отучит нажимать "OK" до искончания веков.

При установке антивирус очевидно "в праве" по той же кнопке вправить мозги хранилищу корневых сертификатов у юзера, тогда и нажимать больше ничего и никогда не доведется. Юзера так и не узнает его поимели за его деньги.

А если я проведу настоящий MITM и отдам юзеру сертификат, похожий на KIS'овский? Боже, как это убожище используют?!

Это очень неплохое средство защиты, одно из лучших для Win. Просто политика у компании странная, неприятная. Есть опция, проверять/спрашивать каждый раз/не проверять шифрованный трафик. И, кажется, он пользуется системным хранилищем сертификатов Windows, чтобы проверять сертификаты. А большинство пользователей всё равно не читают предупреждения.