Всё о TBB (Tor Browser Bundle)
Извиняюсь, но за 10 минут перебора тем в форуме "Анонимность" не нашел всеобъемлющей темы о TBB (Tor Browser Bundle), только разрозненные.
Поэтому предлагаю обсуждать вопросы и проблемы, представляющие интерес для многих, в этой ветке, будет удобней.
Вопрос вынесен даже в FAQ, но тут кое-кто настаивает на
— Та-а-рищ прапорщик! А крокодилы летают ?
— Та ты шо, Петренко! Крокодил, знаешь какой он тяжёлый! Да и крыльев у него нет !
— А вот товарищ полковник говорил, что летают !
— Э-э-э! Тебе товарищ полковник сам об этом говорил ?
— Да !
— Ты ж понимаешь, Петренко, крокодил, конечно, летает! Но, знаешь, так нызенько, нызенько....
Откровенно говоря, да. Я бы даже сказал, безобразно. Вам ли, как параноику со стажем™, допускать такие
мыслисоветы:Вы это допускаете? Понимаю, работа такая. Деловые контакты, портфолио, linkedin, отчетность, квартал, подпись, протокол, сдал-принял...
Да, это допустимо, но вы
тамтутпоаккуратнее при таких откровениях.Количество потенциальных моделей угроз и способов их нейтрализации множество, но они в вопросах не задаются, поэтому конкретно ответить нельзя. Откуда коннект? Работа, дом, гости, кафе, улица? Как организована локальная сеть, если она имеет место, сколько машин онлайн, кто за ними, какие машины, какой тип связи, какой трафик, ось, провайдер и т. д. и т. п., мелочей нет, если серьезно подходить к вопросу, в стиле настроил и забыл. А можно с багтрекеров не вылезать, да новости только что успевать читать. Каждому свое.
Семь бед – один ответСемь лет# – один ответ: Tor ))Настаивает? Настраивает. Настраивает рабочее место так, что наличие расширений, дополнений, плагинов и прочих рюшечек не влияет на общее состояние безопасности критических данных, которые могут подвергнуться утечке в случае форс-мажорных ситуаций, вероятность которых довольно низкая.
Вопрос, вынесенный в FAQ, не более чем памятка. Сродни предупреждениям синоптиков о засухе, урагане или аномальном холоде и призывам "быть осторожнее и не выходить без надобности на улицу".
Нынче снег зимой и солнце летом аномалия. Читай безобидное расширение то же самое.
Профилирование... Вы знаете кто, когда и как юзает TBB, помимо вас? Фанариком будете скорее вы, если будет голый дефолт. Флеш нужен, если надо или хочется смотреть онлайн-видео, скрипты обязательно нужно вырубить, если есть угроза атак через них и вы будете посещать сайты, где вероятность этого высока, сайты партнерок и школьников-монетизаторов, если уж туда заносит, хотя чего там делать, мне понять трудно, но бывает, куки тоже нужны иногда, без них не будет корректно работать множество сайтов и сервисов, статический экзит тоже бывает необходим. Поэтому советы и рекомендации имеют совершенно разную актуальность для разных групп пользователей. Ситуация, в которой дополнение ставит человек, который понимает что он делает и зачем, и ситуация, в которой человек ставит дополнение, не отдавая отчет своим действиям и возможным последствиям – разные. В обоих случаях вероятность успешной атаки
мнимогопотенциального противника невысока. Разница в том, что в первом случае, при системном подходе к сетевой безопасности, противник останется ни с чем. Во втором есть варианты. В конце концов есть Tor, есть TBB, есть юзер. Как это все компилируется – это личное дело последнего.Летают. Или да. Потому что их сильно бьют.
Больше делать нечего, реально читать реальные новости. Оставим это реальным пацанам. А вот скрипт, например, на основе исследования журнала посещений разных пользователей на работе, дома или в кафэшечке будет не флудить, а работать в рамках погрешности. Флуд? Толсто. Надо тоньше
симулироватьимитировать, зачем загаживать канал, если он и без того не широкий? По открываемым ссылкам можно сказать, что была ссылка, был клик, потому что интересно, потому что я такая или я такой, вижу ссылку на желтую новость и читаю, читаю, читаю до посинения, люблю быть в курсе шоу-биза и политики, которые в избытке на индексах mailа, ramblerа и yandexа. Я не ищу, я ем то, что мне дают. Я статист. В Гугле ищу туфлюЖенежене и корм собаке. Я потребитель. Таким я выгляжу в Сети со стороны. Этого я и добиваюсь.Слишком высокий риск. Понятие нейтралитета в век DMCA очень зыбко. Не сегодня, так завтра легальный ролик будет нелегальным и вас посодют. Случаев, когда ютуб удаляет ролик, залитый согласно правил видеохостинга самим правообладателем уйма. Из недавнего – Д. Боуи. Да и о чем говорить, когда Ютуб удаляет ролик, как нарушающий, который сам же и залил!? Апофеоз бреда. Так шта смотрите ролики только со взрослыми кошками, котят смотреть боязно – защита котят от вредной информации. А лучше вообще не смотрите, мало вам трёх кнопок? Получите еще одну, "свежак". Было ОРТ, теперь ОТР...
По-вашему, закачка портрэтов депутатов ГД что-то из ряда вон? Сорт оф хобби. Но риск, но пэйн, джаст литтл хобби.
Ой вы, Гости-господа, долго ль ездили? Куда?
ведь это же очень сильно выделяет из толпы:( давно нужно выкинуть Noscript и вообще заблочить в торбраузере чекбокс-js, чтобы никто даже не пытался отключить их!
также очень сильно выделяет из толпы отстутствие по дефолту Flash, Quicktime и Silverlight
А это не ваше, случаем? А вот и ваш анонимный профиль. А здесь вы, видимо, забыли торифицироваться, в итоге полный срыв покровов.
"Предыдущий оратор".
Вы мне льстите. "Много и ни о чем" – это тоже сорт оф хобби.
Ни о чем, уважаемый, это постоянные ссылки и аппеляции к комментариям и высказываниям третьих лиц, которые не имеют практического значения в контексте безопасности и сохранения анонимности в TBB.
Да, вам знакомо такое выражение "смотрю в книгу – вижу фигу"? По-моему оно вам не только знакомо, но и выступает в роли девиза.
Надежность TBB не может характеризоваться самодостаточностью и рассматриваться отдельно. Одно из ключевых значений имеет окружение и системный подход. Надеюсь, вы это понимаете. Если вам нужно мало и обо всем, читайте твиттор.
комментариев: 9796 документов: 488 редакций: 5664
А стандартные? )) Что есть стандарт? Мы опять приходим к тому, что изучение и анализ TBB либо работы через Tor сторонними приложениями в лаборатории – это одно, повседневное использование – совсем другое. То, что в рамках лабораторных моделей будет на ладони, то в открытой Сети будет трудно вычленить. Плагины и примочки в основном для развлечений, для удобства пользования, серфинга, скачки и т. д.. Если требуется повышенная анонимность, то на другом конце провода не нужно наличие у вас в браузере ни флеша, ни каких-либо плагинов, ни дополнений.
Это можно протестировать на подконтрольном ресурсе, обращаясь к нему через Tor различными приложениями, включая чистый и модифицированный TBB, в различных режимах и делая выводы, что посылается в запросе, дифференцируя профили.
В этом случае к нашим услугам периодическая смена профилей, параллельный запуск нескольких различных копий TBB. Ресурсы, откуда качают булками, т. е. массово, специфичны, и с них как раз только так и тянут контент в основной своей массе. Среди них будет выглядеть белой вороной постоянное присутствие чистого TBB.
тамтутпоаккуратнее при таких откровениях.Вы же сами написали, что для построения защиты нужна конкретика. Если вопрошающий может быть всюду анонимен и нигде не светить своё ФИО — пожалуйста, пусть работает только через Tor, но мого ли таких? А если он использует ФИО и работает через Tor, то, в зависимости от ситуации, может сделать себе ещё хуже, чем было бы без Tor'а. Собственно, грубую черту можно провести по этому признаку. А дальше начинаются тонкости вида «размен анонимности на удобство» и всё такое, тут надо не переборщить. Но, как вы правильно отметили, каждый для себя решает, какие у него риски, модели угрозы и прочее.
Я с этим не согласен. Теория информации — жуткая и неумолимая штука, её очень трудно обмануть. Вон, изменение младших бит в стего, казалось бы, — вообще нейтральная модификация, ан нет, детектируется. Так же и тут. Можно до поры до времени надеяться на авось и прятаться, пока кто-то не напишет умный тул, анализирующий over9000 параметров и позволяющий с вероятностью 99% сказать, принадлежит ли профиль человеку или это флудил скрипт. Хуже того, ещё можно создать тул, который отфильтрует одно от другого. Panopticlick очень удачно продемонстрировал, как наличие всего-то нескольких признаков оказывается достаточным для уникальной идентификации юзера во всём Интернете. Раньше об этом как-то мало задумывались...
Что считать нейтральными роликами — каждый решает для себя сам, но оптимальней для нейтрального трафика иметь какой-нибудь VPN — это так, на всякий случай. :)
:D))) Вообще-то там в оригинале другая фраза была, но да ладно. :)
Мы в Париже, в КьюСиЭсе, обсуждали эти сети
И ДиАй и КьюКэДи, всю секьюрити страны.
Там мы Видик посмотрели, да мин-энтропи узрели,
Надломили ЭрЭсА, обсудили петуха.
Четвёрка дней промчалась быстро,
Ждите ролик неказистый.
Сложно, долго, муторно, геморройно, не все смогут провести, и нет гарантий, что всё будет учтено. Анализировать чужой сайт — это как анализировать чёрный ящик, последний всегда может найти способ обойти проверку.
комментариев: 9796 документов: 488 редакций: 5664
Как правило, все теории жуткие и неумолимые. Полиграф тоже трудно обмануть, но возможно. Этому учат где надо. Речь не об этом.
На примере Крипты, EFFского теста на уникальность видно зачаточки, ростки, которых явно недостаточно для серьезного анализа, т. к. их обмануть не трудно. Определить уникальный, с определенной вероятностью, профиль не архисложно, т. к. один IP-адрес уже сильно сужает круг, скрипты, экран, куки, браузер, настройки – еще больше. Все так. Но это объективно и сложности в этом нет.
Поэтому с вами я здесь не соглашусь. Простейший пример. Я почему упомянул не флуд именно, а имитацию? Потому что её отличить крайне трудно будет, как я предполагаю. Что собой представляет журнал посещений вы знаете, URL, дата, время, метки. Скорми журнал скрипту, и он будет тупо серфить по журналу, согласно адресам и времени. Можно, добавить отклонения, менять местами адреса, прибавлять рандомные секунды и т. д. Куда уж примитивнее. Более интеллектуальная модель не намного сложнее, как мне видится, как концептульно так и при реализации. Вот работа для студентов: на выставках любят они роботов мастерить, робот-пользователь – сканирует экран монитора, анализирует на ссылки, манипулирует мышкой, красота! ))
На основе чего, тулза или оператор или группа лиц будет отличать бота от человека? Я допускаю, что есть нюансы и тонкие моменты, но на первый взгляд ничего принципиально нового или сложного здесь нет. Просто софта такого вроде бы нет. За ненужностью. Пока нет? А анализатор кто? Человек посередине (провайдер, например) или целевой сайт?
Респектую! :) Себя показали, других посмотрели, обсудили дела насущные. Немного завидую, хотя от большой науки я очень и очень далек. Чем дальше в лес, тем больше ощущаю недостаток знаний. Поэтому в чащу не захожу, так, вдоль опушки гуляю)
Ролик будет интересно посмотреть, да и ваши ссылки за неимением времени, не всегда успеваю даже индексировать, но свежую струю, как и Админы сайта вы вносите исправно. Да, а RSA сильно надломили-то?
Да. А главное, "неактуально" и "бессмысленно". Что еще главнее, просто лень. Оттого лень, что смысл и актуальность этого действа под большим вопросом в плане практики. Теоретически это весьма любопытно было бы, думаю.