Звук в браузере
Зашел через заторенный огнелис с включенным торббаттоном (дефолтные настройки) и выключенными J, JS и Flah (через Flashblock и Quickjava) на один сайт, у меня начала воспроизводиться музыка на компе, что очень меня насторожило (с точки зрения возможной деанонимизации).
К сожалению, снифферы у меня не были включены, и я не смог выяснить, пошла ли утечка пакетов не через тор.
Каким образом может воспроизводиться звук при посещение веб-сайта, если указанные плагины выключены? Чем это угрожает для анонимности? И что за эксплойт там может быть?
P. S. Если я после этого безобразия снесу локальные пользовательские настройки огнелиса в хомяке этого пользователя, насколько это может спасти меня от возможного заражения эксплойтом? Что еще могло быть поражено им? (Какие папки локальных настроек в хомяке на всякий случай сносить?)
P. P. S. ОС – Debian Lenny AMD64, Iseweales 3.0.6, Tor v0.2.1.22, Privoxy version 3.0.9, Torbutton 1.2.0, Flashblock 1.5.11.2, Quickjava 0.4.2.1
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Команда, по ходу дела, не верная: единицу надо опустить. И ещё вопрос такой: если был выбран уровень сертификации 1 и им уже подписан ключ, то как потом сменить его в своей связке на 2ой?
Решил найти changelog для tor, чтобы поглядеть что поменялось при переходе от 22ой к 23ей версии. Задача оказалась отнюдь не тривиальной, в итоге нашлось гуглом, но доступ туда только по http: Tor ChangeLog. С основной страницы сайта проекта, я так понял, туда попасть нельзя :-( И то до конца не уверен, что это постоянный адрес changelog'а. Может быть стоит внести эту ссылку сюда на сайт? Всё же полезная штука, чтобы быть в курсе событий.
комментариев: 11558 документов: 1036 редакций: 4118
У меня на связке такой.
Было бы хорошо иметь на pgpru.com подписанный ключами участников хэш от списка PGP-ключей, связанных с torproject'ом: доверять https'у в таких делах (первое получение ключа) нельзя, а так была бы хоть какая-то дополнительная проверка.
комментариев: 9796 документов: 488 редакций: 5664
gpg --list-sigs показывает, что ключ Себастьяна заверен ключами таких людей, как: Andrew Lewman, Jacob Appelbaum и собственно Erinn Clark. Верить или нет заявлению в блоге, что ему доверена сборка по причине отъезда Эринн (при том, что он и так собирает obfsproxy для TBB) — другой вопрос. Например, у меня ключи людей из этого списка уже были, кто они такие я уже знал до этого и только на SSL конечно полагаться не стоит.
Если используете Linux/Debian, то установите пакет с подписями всех дебьяновских разработчиков, среди них будет и Peter Palfrader, а от него по проверке подписей можно установить доверие ко всем ключам торпрожекта. Т.о. доверие ко всем пакетам в системе будет основано на доверии к вашей копии дистрибутива, т.к. они все проходят проверку gpg-подписи.
Средство обхода цензуры, блокирующей SSL-соединения (соединения с узлами сети Tor).
Спасибо! Это именно то, что хотелось услышать. Просто далеко не все регулярно читают блог torproject'а...
Согласен, но, кстати, наличие подписи на ключе не так-то много удостоверяет. В задумке подписи подразумевается, что её сделавший в той или иной степени поручился, что указанное в key id лицо (имя/фио/мыло) — действительно владелец им подписанного ключа. Само по себе это не делегирует каких-то дополнительных прав. К примеру, если лицо X имеет право на подпись какого-то минорного прикладного пакета в Debian, а оно вдруг внезапно подписало важный для меня пакет Y, у меня естественно возникнут вопросы, которые одним лишь фактом того, ключ X подписан главным ключом Debian, не разрешаются. Собственно, нечто подобное как раз и произошло в контексте TorProject :) К тому же, всегда есть параноя на предмет: допустим, злоумышленники похитили приватный ключ одного из разработчиков Tor, тогда как далеко они могут с ним зайти?
комментариев: 9796 документов: 488 редакций: 5664
Вы правы. По-хорошему, ситуацию должен бы разрулить ещё и кто-то из лидеров проекта, заверив это уведомление.
На всякий случай, пользователи Debian/Ubuntu, подключившие репозитории торпроджекта могут поставить пакет deb.torproject.org-keyring и прописать в /.gnupg/gpg.conf опции:
Это для того, чтобы не следить за всеми обновлениями ключей в торпроджекте вручную.
Нет, но обновиться до 2.2.35-9 прийдётся (но проще поправить скрипт)
Получается что без вашего спроса и "тайно" пишут все посещенные вами адреса. Можно ёрничать про локалхосты, и ваш дом моя крепость, но факт — такие логи в вашей крепости это частичное разрушение свойств прямой секретности гарантируемых тором.
если ssd или hdd, то IMHO никак, кроме как RAMDISK в ОП. А можно ещё ACARD ANS-9010+VBox либо LiveCD.
С ныне последней 2.3.25-4 опять рецидив? Сегодня, кажись, уже исправили свой скрипт на сервере, а вчера весь день ругань шла, и это при том, что версия вышла далеко не вчера, а намного раньше. Оупенсырец такой оупенсырец... Более того, ввиду нововведения с анимацией иконки-луковицы [1, 2]*, не заметить эту багу было нельзя. Как они вообще могли такое зарелизить? Сами ни разу не запускали TBB, который разрабатывают?
Ещё решили, что нечего давать народу много прав и убрали почти все настройки из вкладки security. Меня, например, категорически не устраивает качество альтернативных поисковиков, я предпочитаю рестартнуть цепочки или надеть на себя новую личину, чем видеть этот бред в поисковой выдаче. Как теперь пользователи будут решать эту задачу, когда нужная настройка исчезла? Или TBB-девы договорились с гуглом о незабанивании?
*Make Torbutton icon flash a warning symbol if TBB is out of date (closes: #7495).