id: Гость   вход   регистрация
текущее время 14:58 28/03/2024
создать
просмотр
ссылки

Совместимо ли с анонимностью использование Tor и JavaScript?


Как известно, ни одна платежная система, ни один банк, ни один мало-мальский сайт с использованием финансовых операций, не захочет работать и общаться с Вами без использования JavaScript-ов. Без них никак. Я использую Tor для посещения таких систем как Киви-кошелек, Яндекс.Деньги, Монета.Ру. Могут ли они деононимизировать пользователя, если используются Java-Script? Как вообще их проверить?


 
На страницу: 1, 2 След.
Комментарии
— Гость (30/09/2012 11:58)   <#>
Да, неплохой вопрос. Sattva, что думаете?
— Гость (30/09/2012 12:52)   <#>
Они за использование тора не блокируют? Киви к телефону привязан, какая тут анонимность?
— Григорий (30/09/2012 13:01)   <#>
Киви к телефону привязан, какая тут анонимность?

Ну, это проще простого, купил сим-карту на улице возле метро, телефон также б/у на горбушке. И никаких звонков и смс с этого телефона не делать, юзать только для Киви. А вот джаваскрипты, тут все туманно и неясно...
— Eridan (30/09/2012 13:17, исправлен 30/09/2012 13:21)   профиль/связь   <#>
комментариев: 254   документов: 9   редакций: 753

Тут наоборот надо спрашивать. Совместимо ли выключение javascript с использованием Tor? Потому что из коробки он включен и большинство пользуется им. Так что при выключении вы начинаете светиться.


Но javascript + постоянно пополняющиеся функции скрипта + css новые = неизвестность. Никогда нельзя быть уверенным, что кто-то не нашел хак позволяющий сделать скриптом бяку.


Если коротко, то на большинстве сайтов выключать скрипты нельзя. Выключить можно только, если вы достаточно хорошо знакомы с устройством сайта и знаете, как он работает и что делает, чтобы быть уверенными, что выключение невредно.


Про звонки анонимно. Тогда и оплачивать придется не из дома, потому что все пеленгуется. А к Tor можно в конец еще один прокси добавить, не из Tor сети.

— unknown (30/09/2012 15:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Приходиться надеяться, что тот набор допустимых функций JS, который оставили и пофиксили разработчики TorBrowser, является безопасным. Полное или даже выборочное (но не такое как у всех) постоянное его отключение делает профиль трафика пользователя уникальным как на исходящих узлах, так и на посещаемых сайтах.

Услуги мобильных операторов, если очень хочется, можно оплачивать биткоинами, не напрямую естественно.
— Гость (30/09/2012 16:17)   <#>
совместимо, в пределах 00.0%, если вы уверены на 00.0% в операционной, в браузере, программах, процессоре, клавитуре, мышке. Кое-кто использует виртуалки, чистят временные файлы, реестр в виндоуз, блокируют весь трафик и порты кроме Тор, шифрование и уничтожениеданных.
Тогда JScript совместим на 00.0%
Как-то так. (0=?)

Вопрос на самом деле не "что передается", а "что связано с вами".
— Гость (01/10/2012 00:22)   <#>
не такое как у всех постоянное его отключение делает профиль трафика пользователя уникальным
Однако, как написано в меню NoScript: Forbid scripts globaly (advised)
— Гость (01/10/2012 00:28)   <#>
A поставляется TB с настройкой Allow Scripts Globally (dangerous). Вот и "думайте сами, решайте сами, менять или не менять...
— Гость (01/10/2012 01:26)   <#>
Могут ли они деононимизировать пользователя, если используются Java-Script?
При грамотной настройке (виртуалки, firewall, надёжная ОС) можно не бояться запускать практически любой код и любое приложение (в краткосрочной перспективе), но те, кто это могут правильно настроить, подобные вопросы, опять же, задавать не будут.

постоянное его отключение делает профиль трафика пользователя уникальным
Анонимность — управление рисками. Лично я оцениваю вероятность того, что найдётся очередная тайно эксплуатируемая дыра в JS куда большей, чем вероятность сколь-нибудь надёжного различения из-за выключенного JS в общем потоке пользователей. В силу этих причин в критически важных для анонимности делах предпочитаю отключать JS полностью, если только нет превентивных контрмер защиты (firewall, виртуалки и т.д.).
— Гость (01/10/2012 02:01)   <#>
И на виртуалку бывает проруха
— Гость (01/10/2012 02:16)   <#>

Уязвимость была даже не по вине программистов VMware. Дело в том, что веб-интерфейс этого менеджера (висит на TCP-порту 9084) использует в качестве веб-сервера
После слов «веб-сервер» не читал. Это как если бы дыра в GNOME преподносилась как дыра в ядре Linux. Все и так знают, что средства автоматизации для секретарш до добра не доводят: только командная строка, только хардкор, только Xen.
— Гость (01/10/2012 09:30)   <#>
Все и так знают
А если все и так знают, зачем же вы это тут написали?
— Гость (01/10/2012 10:32)   <#>
Чтобы побудить вас постить интересные ссылки, мысли и обогощать местную сокровищницу знаний, а не запутывать некомпетентных новичков подобными постами и ссылками. Или вы пытаетесь закосить под последних?
— Гость (01/10/2012 13:20)   <#>
Некомпетентных новичков как раз запутывают посты о виртуалке как панацее. А конкретный пример содействует "грамотной настройке" гораздо эффективнее, чем абстрактный призыв к ней же.
— Гость (01/10/2012 14:09)   <#>
А конкретный пример содействует "грамотной настройке" гораздо эффективнее, чем абстрактный призыв к ней же.
Попытки объяснить вещи в терминах конкретного примера были, но успеха не потерпели (слишком индивидуально получается, в дефолтном описании мало кому пододйдёт и т.д.; всё равно нужна свобода настройки под себя, свои задачи, свои цели, свои модели угрозы, но чтобы уметь из кусочков собрать систему под себя, надо уже иметь квалификацию как пререквизит, т.е. задача свелась к исходной: без бутстрепа никуда).
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3