id: Гость   вход   регистрация
текущее время 19:35 28/03/2024
создать
просмотр
ссылки

Звук в браузере


Зашел через заторенный огнелис с включенным торббаттоном (дефолтные настройки) и выключенными J, JS и Flah (через Flashblock и Quickjava) на один сайт, у меня начала воспроизводиться музыка на компе, что очень меня насторожило (с точки зрения возможной деанонимизации).
К сожалению, снифферы у меня не были включены, и я не смог выяснить, пошла ли утечка пакетов не через тор.
Каким образом может воспроизводиться звук при посещение веб-сайта, если указанные плагины выключены? Чем это угрожает для анонимности? И что за эксплойт там может быть?
P. S. Если я после этого безобразия снесу локальные пользовательские настройки огнелиса в хомяке этого пользователя, насколько это может спасти меня от возможного заражения эксплойтом? Что еще могло быть поражено им? (Какие папки локальных настроек в хомяке на всякий случай сносить?)
P. P. S. ОС – Debian Lenny AMD64, Iseweales 3.0.6, Tor v0.2.1.22, Privoxy version 3.0.9, Torbutton 1.2.0, Flashblock 1.5.11.2, Quickjava 0.4.2.1



 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (23/01/2010 15:14)   <#>

Torbutton 1.2.0


Дата релиза:

30 Jul 2008


С музыкой скорей всего не связано, но в более свежих версиях были правки множества своих багов и "фичей" браузера.
— unknown (23/01/2010 15:32)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Версии Torbutton, также как и Tor нужно использовать с сайта torproject, а не из дистра. В Debian не патчат security баги, связанные с анонимностью.
— Гость (23/01/2010 15:35)   <#>
Это не эксплоит – скорей всего torbutton почему-то не отключил проигрывание музыки через браузер-расширения.
ОС – Debian Lenny AMD64
Ну а что вы тогда мучаетесь? Пара строчек в конфиге iptables на блокирование трафика от нужного пользователя не в Tor и basta (не путать с прозрачной торификацией, что намного сложнее в настройке).
— Гость (23/01/2010 20:48)   <#>
Версии Torbutton, также как и Tor нужно использовать с сайта torproject, а не из дистра. В Debian не патчат security баги, связанные с анонимностью.

Tor у меня этот:


Т.е. с сайта торпроекта, а не из дистра.

А вот privoxy похоже из дебиановского дистра:


Ну и с torbutton получается такая же беда.
Какие надо сделать записи в соурс.листе, чтобы их с сайта торпроекта получать? Не могу найти что-то.
— unknown (23/01/2010 21:42, исправлен 23/01/2010 21:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Privoxy некритичен. При использовании TB он лишь заворачивает трафик в Tor, а можно даже и без него, но это как подстраховка.


С TB ситуация хуже — пакет собран самой командой Debian, но торпроектом пакет не поддерживаются. Т.е. пакет с плагином нужно удалить, а плагин ставить вручную, через https://torproject.org. После взлома серверов проекта спохватились ещё, что gpg-подпись ставится только на исходники, но не готовую сборку плагина.


Буквально сейчас в рассылке обсуждается, что https — полумера, подпись на сертификат выдаётся коммерческими компаниями, при взломе сайта пакет могут подменить и сертификат тут не поможет (а вот gpg-подпись помогла бы), копии плагина на зеркалах мозиллы вообще модифицируются мозиллодержателями без ведома авторов — туда вставляются уведомления о совместимости с новыми версиями FF, так что подпись там не применить.


Пока с https://torproject.org и подпись сравнивать вручную, вот по этой ссылке можете увидеть, что они стали выкладывать подпись только вчера.

— Гость (23/01/2010 22:39)   <#>
unknown, прошу прощения за тупость, а как сравнивать вручную?
У меня вот что выходит:
— SATtva (23/01/2010 22:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Гость (23/01/2010 22:39), скачайте по ссылке .asc-файл.
— Гость (23/01/2010 23:30)   <#>
SATtva, я его скачал, а он не хочет импортироваться:


Там походу подпись какая-то неполная:
— SATtva (23/01/2010 23:36)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
1. Скачайте .xpi и .asc нужной версии плагина.
2. Положите оба в один каталог.
3. Сделайте gpg -d filename.asc
— sentaus (23/01/2010 23:41, исправлен 23/01/2010 23:41)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32

И ключик ещё как-то надо проверить ;)


У меня такой отпечаток отображается:
BECD 90ED D1EE 8736 7980 ECF8 1B0C A30C DDC6 C0AD

— Гость (23/01/2010 23:46)   <#>


И ключик где брать?!
— unknown (23/01/2010 23:49, исправлен 23/01/2010 23:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Скачаем ключ

Никем из разработчиков его ключ кстати не подписан, придётся доверять по факту того, что скачали с https сайта. Мог бы автор TB (Майк) Роджера попросить подписать свой ключ. Похоже, нет его и среди разработчиков Debiana, иначе он бы получил кучу подписей из большой связки и входил в debian-keyring, что объясняет также отсутствие готовых актуальных пакетов с TB для Debian.


Теперь можно проверять, если оба файла лежат в одной директории:

Всё-таки подписывались плагины раньше. Это только даты у файлов на сервере вчерашним числом.
P. S. Гость, который ставит TB на Debian — успехов в дальнейшем изучении gpg. Читайте manы, задавайте вопросы в подходящих ветках форума.

— SATtva (24/01/2010 00:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Всё-таки подписывались плагины раньше. Это только даты у файлов на сервере вчерашним числом.

Майк писал в рассылке, что ему было лениво выкладывать подписи. И это разработчики системы безопасности! Что мы после этого можем требовать от остальных? :-)
— Гость (24/01/2010 00:22)   <#>
Майк писал в рассылке, что ему было лениво выкладывать подписи. И это разработчики системы безопасности!
Вот потому у нас такие системы безопасности и вот такой оупенсорц, for fun. Для нас это – рабочий инструмент, а для них – искусство (читай развлечение или просто работа). OpenBSDшники писали тоже, чтобы не спамили PGP-подписями текста в рассылке, ибо annoying.
— Гость (31/01/2010 07:54)   <#>
gpg: WARNING: This key is not certified with a trusted signature!
Чтобы каждый раз это не выслушивать, можно и подписать:
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3