id: Гость   вход   регистрация
текущее время 09:57 29/03/2024
создать
просмотр
ссылки

Звук в браузере


Зашел через заторенный огнелис с включенным торббаттоном (дефолтные настройки) и выключенными J, JS и Flah (через Flashblock и Quickjava) на один сайт, у меня начала воспроизводиться музыка на компе, что очень меня насторожило (с точки зрения возможной деанонимизации).
К сожалению, снифферы у меня не были включены, и я не смог выяснить, пошла ли утечка пакетов не через тор.
Каким образом может воспроизводиться звук при посещение веб-сайта, если указанные плагины выключены? Чем это угрожает для анонимности? И что за эксплойт там может быть?
P. S. Если я после этого безобразия снесу локальные пользовательские настройки огнелиса в хомяке этого пользователя, насколько это может спасти меня от возможного заражения эксплойтом? Что еще могло быть поражено им? (Какие папки локальных настроек в хомяке на всякий случай сносить?)
P. P. S. ОС – Debian Lenny AMD64, Iseweales 3.0.6, Tor v0.2.1.22, Privoxy version 3.0.9, Torbutton 1.2.0, Flashblock 1.5.11.2, Quickjava 0.4.2.1



 
На страницу: 1, 2, 3 След.
Комментарии
— unknown (31/01/2010 18:58)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Лучше оставить как есть, просто спокойно относиться, зная что эта надпись означает. Вдруг при очередном обновлении этого ключа у вас к нему построится цепочка доверия?
— Гость (01/02/2010 01:21)   <#>
Вдруг при очередном обновлении этого ключа у вас к нему построится цепочка доверия?
Если вы в сети доверия на участвуете, то это не актуально, как я понимаю.
— unknown (01/02/2010 09:01)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
У автора топика личной сети доверия может и не быть, но он использует дистр Debian, поэтому может поставить пакет Debian-keyring, т.е. от ключа, которым заверен дистр (уж ему то так или иначе придётся доверять) через ключи всех разработчиков протянется большая сеть доверия. Если разработчик какого-то пакета пересечётся с коммандой Debian, то он может оказаться в этой сети доверия.
— Гость (20/02/2010 04:33)   <#>
У Роджера такой отпечаток? Он им сырцы подписывает.

Чтобы каждый раз это не выслушивать, можно и подписать:
Команда, по ходу дела, не верная: единицу надо опустить. И ещё вопрос такой: если был выбран уровень сертификации 1 и им уже подписан ключ, то как потом сменить его в своей связке на 2ой?

Решил найти changelog для tor, чтобы поглядеть что поменялось при переходе от 22ой к 23ей версии. Задача оказалась отнюдь не тривиальной, в итоге нашлось гуглом, но доступ туда только по http: Tor ChangeLog. С основной страницы сайта проекта, я так понял, туда попасть нельзя :-( И то до конца не уверен, что это постоянный адрес changelog'а. Может быть стоит внести эту ссылку сюда на сайт? Всё же полезная штука, чтобы быть в курсе событий.
— SATtva (20/02/2010 12:37)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
У Роджера такой отпечаток? Он им сырцы подписывает.

У меня на связке такой.
— Гость (22/02/2012 01:12)   <#>
Что там мутят с ключами, используемыми для подписей Tor-Browser'а? Раньше всё было нормально:
$ gpg --verify tor-browser-gnu-linux-i686-2.2.35-6-dev-en-US.tar.gz.asc
gpg: Signature made Mon 13 Feb 2012 08:59:36 PM CET using RSA key ID 63FEE659
gpg: Good signature from "Erinn Clark <erinn@torproject.org>"
gpg:                 aka "Erinn Clark <erinn@debian.org>"
gpg:                 aka "Erinn Clark <erinn@double-helix.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8738 A680 B84B 3031 A630  F2DB 416F 0610 63FE E659
Потом обновляюсь, и ключ уже не Clark'овский, а Sebastian'овский:
$ gpg --verify tor-browser-gnu-linux-i686-2.2.35-7.2-dev-en-US.tar.gz.asc
gpg: Signature made Mon 20 Feb 2012 02:23:41 PM CET using RSA key ID 140C961B
Но я же качал такой же Linux portable, а не obfsproxy (что это?), почему теперь ключ другой?

Было бы хорошо иметь на pgpru.com подписанный ключами участников хэш от списка PGP-ключей, связанных с torproject'ом: доверять https'у в таких делах (первое получение ключа) нельзя, а так была бы хоть какая-то дополнительная проверка.
— unknown (22/02/2012 10:07, исправлен 22/02/2012 10:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

gpg --list-sigs показывает, что ключ Себастьяна заверен ключами таких людей, как: Andrew Lewman, Jacob Appelbaum и собственно Erinn Clark. Верить или нет заявлению в блоге, что ему доверена сборка по причине отъезда Эринн (при том, что он и так собирает obfsproxy для TBB) — другой вопрос. Например, у меня ключи людей из этого списка уже были, кто они такие я уже знал до этого и только на SSL конечно полагаться не стоит.


Если используете Linux/Debian, то установите пакет с подписями всех дебьяновских разработчиков, среди них будет и Peter Palfrader, а от него по проверке подписей можно установить доверие ко всем ключам торпрожекта. Т.о. доверие ко всем пакетам в системе будет основано на доверии к вашей копии дистрибутива, т.к. они все проходят проверку gpg-подписи.


Средство обхода цензуры, блокирующей SSL-соединения (соединения с узлами сети Tor).

— Гость (04/03/2012 08:37)   <#>

Спасибо! Это именно то, что хотелось услышать. Просто далеко не все регулярно читают блог torproject'а...


Согласен, но, кстати, наличие подписи на ключе не так-то много удостоверяет. В задумке подписи подразумевается, что её сделавший в той или иной степени поручился, что указанное в key id лицо (имя/фио/мыло) — действительно владелец им подписанного ключа. Само по себе это не делегирует каких-то дополнительных прав. К примеру, если лицо X имеет право на подпись какого-то минорного прикладного пакета в Debian, а оно вдруг внезапно подписало важный для меня пакет Y, у меня естественно возникнут вопросы, которые одним лишь фактом того, ключ X подписан главным ключом Debian, не разрешаются. Собственно, нечто подобное как раз и произошло в контексте TorProject :) К тому же, всегда есть параноя на предмет: допустим, злоумышленники похитили приватный ключ одного из разработчиков Tor, тогда как далеко они могут с ним зайти?
— unknown (04/03/2012 18:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
наличие подписи на ключе не так-то много удостоверяет. <...> Само по себе это не делегирует каких-то дополнительных прав.

Вы правы. По-хорошему, ситуацию должен бы разрулить ещё и кто-то из лидеров проекта, заверив это уведомление.

На всякий случай, пользователи Debian/Ubuntu, подключившие репозитории торпроджекта могут поставить пакет deb.torproject.org-keyring и прописать в /.gnupg/gpg.conf опции:

Это для того, чтобы не следить за всеми обновлениями ключей в торпроджекте вручную.
— Гость (20/03/2012 00:09)   <#>
Захожу в Tor через TB, пишет
There is a security update available for the Tor Browser Bundle.
Сношу всё нафик, качаю новую версию tor-browser-gnu-linux-i686-2.2.35-8-dev-en-US.tar.gz, распаковываю, запускаю, а он снова при запуске пишет это же предупреждение. Думаю, может локальный глюк какой... снова перезапускаю, и снова это же предупреждение. Это у меня одного так?
— Гость (20/03/2012 00:53)   <#>
Сношу всё нафик, качаю новую версию tor-browser-gnu-linux-i686-2.2.35-8-dev-en-US.tar.gz, распаковываю, запускаю, а он снова при запуске пишет это же предупреждение.

Пришли к молодым родителям гости. И чтобы ребенок не мешал, его посадили в соседнюю команту, надели наушники, и поставили пластинку со сказками. Через некоторое время заходят они в комнату к малышу и видят: ребенок бъется головой об стену и кричит:
– Хочу, хочу.. БУМ.. хочу, хочу... БУМ (это удар об стенку головой)..
Родители снимают наушники и слушают, а там:
– Дружок, хочешь я расскажу тебе сказку? ВЖИК (игла съезжает по пластинке) Дружок, хочешь я расскажу тебе сказку? ВЖИК Дружок, хочешь, я расскажу тебе сказку?

Это у меня одного так?
Нет, но обновиться до 2.2.35-9 прийдётся (но проще поправить скрипт)
— Гость (20/03/2012 02:38)   <#>
2.2.35-9
Его же ещё нет :) Дело исключительно в предупреждении, или он в каком-то особом дебаг-режиме стратует? Есть чего бояться?
— Гость (20/03/2012 12:05)   <#>
Дело исключительно в предупреждении, или он в каком-то особом дебаг-режиме стратует?
Это два разных бага, в первом случае бандл "думает" что на сайте есть какая-то более секурная версия, это косяк на сайте. Второй баг это включенный дебаг режим для видалии, вне зависимости от опций, это косяк в скрипте start-tor-browser. В дебаг режиме пишется всё что "думает" и "слышит" видалия, в том числе адрес запрошенный браузером. Теперь главный вопрос, у всех ли это пишется на шифруемый раздел (накопитель) или потом надо будет решать вопрос удалять или вайпить и если вайпить, то как это сделать надежно если у вас sdd (да и для hdd это всё равно вопрос). Фобос например заметил эти логи когда их размер перевалил за 2 гига, и то после того как модеря коменты к блогу заметил сообщение про это.

Получается что без вашего спроса и "тайно" пишут все посещенные вами адреса. Можно ёрничать про локалхосты, и ваш дом моя крепость, но факт — такие логи в вашей крепости это частичное разрушение свойств прямой секретности гарантируемых тором.
— Гость (20/03/2012 14:59)   <#>
то как это сделать надежно если у вас sdd (да и для hdd это всё равно вопрос).

если ssd или hdd, то IMHO никак, кроме как RAMDISK в ОП. А можно ещё ACARD ANS-9010+VBox либо LiveCD.
— Гость (24/02/2013 00:44)   <#>
/comment51384: Сношу всё нафик, качаю новую версию tor-browser-gnu-linux-i686-2.2.35-8-dev-en-US.tar.gz, распаковываю, запускаю, а он снова при запуске пишет это же предупреждение. Думаю, может локальный глюк какой... снова перезапускаю, и снова это же предупреждение. Это у меня одного так?

С ныне последней 2.3.25-4 опять рецидив?
Now, I'm seeing a blinking yellow triangle in the onion icon of Tor Browser. What does that mean?
Сегодня, кажись, уже исправили свой скрипт на сервере, а вчера весь день ругань шла, и это при том, что версия вышла далеко не вчера, а намного раньше. Оупенсырец такой оупенсырец... Более того, ввиду нововведения с анимацией иконки-луковицы [1, 2]*, не заметить эту багу было нельзя. Как они вообще могли такое зарелизить? Сами ни разу не запускали TBB, который разрабатывают?

Ещё решили, что нечего давать народу много прав и убрали почти все настройки из вкладки security. Меня, например, категорически не устраивает качество альтернативных поисковиков, я предпочитаю рестартнуть цепочки или надеть на себя новую личину, чем видеть этот бред в поисковой выдаче. Как теперь пользователи будут решать эту задачу, когда нужная настройка исчезла? Или TBB-девы договорились с гуглом о незабанивании?

*Make Torbutton icon flash a warning symbol if TBB is out of date (closes: #7495).
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3