Всё о TBB (Tor Browser Bundle)

Вопрос

Почему нельзя настроить на использования тора обычный браузер? Почему не рекомендовано использование плагинов в TBB? (Понятие о неразличимости).

вынесен даже в FAQ, но тут кое-кто настаивает на

Для обеспечения анонимности при развлекательных мероприятиях досуговой направленности можно позволить себе и расширения, и изменение настроек, и прочие вольности, за которые академики будут ругаться:)

dTa в TBB?...Рекомендовано для всех слоев пользователей Tor'a...опасаетесь деанона? Напрасно...можно позволить себе

— Та-а-рищ прапорщик! А крокодилы летают ?
— Та ты шо, Петренко! Крокодил, знаешь какой он тяжёлый! Да и крыльев у него нет !
— А вот товарищ полковник говорил, что летают !
— Э-э-э! Тебе товарищ полковник сам об этом говорил ?
— Да !
— Ты ж понимаешь, Петренко, крокодил, конечно, летает! Но, знаешь, так нызенько, нызенько....

:( Товарищи, академики, зачем вы запутали идиотов?! Пожалуйста, пожалуйста, пожалуйста, «по-простому, в двух словах»: крокодилы летают или нет (dTa в TBB)?

dTa не плагин, а расширение. По идее он не делает ничего такого, что не делал бы сам браузер. Код расширения доступен в читабельном виде для аудита. «Деанон» может произойти из-за баги в расширении или баги в браузере раскрывающему веб-сайту наличие этого расширения. Но лучше не ставить, да.

Откровенно говоря, да. Я бы даже сказал, безобразно. Вам ли, как параноику со стажем™, допускать такие мысли советы:
Вы это допускаете? Понимаю, работа такая. Деловые контакты, портфолио, linkedin, отчетность, квартал, подпись, протокол, сдал-принял...
Да, это допустимо, но вы там тут поаккуратнее при таких откровениях.

Количество потенциальных моделей угроз и способов их нейтрализации множество, но они в вопросах не задаются, поэтому конкретно ответить нельзя. Откуда коннект? Работа, дом, гости, кафе, улица? Как организована локальная сеть, если она имеет место, сколько машин онлайн, кто за ними, какие машины, какой тип связи, какой трафик, ось, провайдер и т. д. и т. п., мелочей нет, если серьезно подходить к вопросу, в стиле настроил и забыл. А можно с багтрекеров не вылезать, да новости только что успевать читать. Каждому свое. Семь бед – один ответ Семь лет# – один ответ: Tor ))

Вопрос вынесен даже в FAQ, но тут кое-кто настаивает

Настаивает? Настраивает. Настраивает рабочее место так, что наличие расширений, дополнений, плагинов и прочих рюшечек не влияет на общее состояние безопасности критических данных, которые могут подвергнуться утечке в случае форс-мажорных ситуаций, вероятность которых довольно низкая.
Вопрос, вынесенный в FAQ, не более чем памятка. Сродни предупреждениям синоптиков о засухе, урагане или аномальном холоде и призывам "быть осторожнее и не выходить без надобности на улицу".
Нынче снег зимой и солнце летом аномалия. Читай безобидное расширение то же самое.

Профилирование... Вы знаете кто, когда и как юзает TBB, помимо вас? Фанариком будете скорее вы, если будет голый дефолт. Флеш нужен, если надо или хочется смотреть онлайн-видео, скрипты обязательно нужно вырубить, если есть угроза атак через них и вы будете посещать сайты, где вероятность этого высока, сайты партнерок и школьников-монетизаторов, если уж туда заносит, хотя чего там делать, мне понять трудно, но бывает, куки тоже нужны иногда, без них не будет корректно работать множество сайтов и сервисов, статический экзит тоже бывает необходим. Поэтому советы и рекомендации имеют совершенно разную актуальность для разных групп пользователей. Ситуация, в которой дополнение ставит человек, который понимает что он делает и зачем, и ситуация, в которой человек ставит дополнение, не отдавая отчет своим действиям и возможным последствиям – разные. В обоих случаях вероятность успешной атаки мнимого потенциального противника невысока. Разница в том, что в первом случае, при системном подходе к сетевой безопасности, противник останется ни с чем. Во втором есть варианты. В конце концов есть Tor, есть TBB, есть юзер. Как это все компилируется – это личное дело последнего.

«по-простому, в двух словах»: крокодилы летают или нет

Летают. Или да. Потому что их сильно бьют.

Если речь идёт о реальном чтении новостей, то через какое-то время осознаете, что по открываемым вами ссылкам о вас можно сказать слишком много, даже если это более-менее нейтральные новости.

Больше делать нечего, реально читать реальные новости. Оставим это реальным пацанам. А вот скрипт, например, на основе исследования журнала посещений разных пользователей на работе, дома или в кафэшечке будет не флудить, а работать в рамках погрешности. Флуд? Толсто. Надо тоньше симулировать имитировать, зачем загаживать канал, если он и без того не широкий? По открываемым ссылкам можно сказать, что была ссылка, был клик, потому что интересно, потому что я такая или я такой, вижу ссылку на желтую новость и читаю, читаю, читаю до посинения, люблю быть в курсе шоу-биза и политики, которые в избытке на индексах mailа, ramblerа и yandexа. Я не ищу, я ем то, что мне дают. Я статист. В Гугле ищу туфлю Жене жене и корм собаке. Я потребитель. Таким я выгляжу в Сети со стороны. Этого я и добиваюсь.

ещё можно рискнуть смотреть нейтральные ролики на youtube напрямую

Слишком высокий риск. Понятие нейтралитета в век DMCA очень зыбко. Не сегодня, так завтра легальный ролик будет нелегальным и вас посодют. Случаев, когда ютуб удаляет ролик, залитый согласно правил видеохостинга самим правообладателем уйма. Из недавнего – Д. Боуи. Да и о чем говорить, когда Ютуб удаляет ролик, как нарушающий, который сам же и залил!? Апофеоз бреда. Так шта смотрите ролики только со взрослыми кошками, котят смотреть боязно – защита котят от вредной информации. А лучше вообще не смотрите, мало вам трёх кнопок? Получите еще одну, "свежак". Было ОРТ, теперь ОТР...

По всей видимости, имеем случай взаимоисключающих параграфов. :)

По-вашему, закачка портрэтов депутатов ГД что-то из ряда вон? Сорт оф хобби. Но риск, но пэйн, джаст литтл хобби.

Стоило на несколько дней отлучиться, как... начали снова обсуждать Win.

Ой вы, Гости-господа, долго ль ездили? Куда?

Только мне показалось, что предыдущий оратор "Чудак на букму М"™, высказывающийся на тему ТВВ, в стиле ВВП "много и ни о чём"?

зачем проджект продолжает использует Noscript в своем поделии?:( специально пытаюся скомпрометировать пользователя? :(
ведь это же очень сильно выделяет из толпы:( давно нужно выкинуть Noscript и вообще заблочить в торбраузере чекбокс-js, чтобы никто даже не пытался отключить их!
также очень сильно выделяет из толпы отстутствие по дефолту Flash, Quicktime и Silverlight

Только мне показалось, что предыдущий оратор "Чудак на букму М"™

Нет, не только вам. Мне и самому это иногда кажется. В некоторой степени так и есть ))
А это не ваше, случаем? А вот и ваш анонимный профиль. А здесь вы, видимо, забыли торифицироваться, в итоге полный срыв покровов.
"Предыдущий оратор".

в стиле ВВП "много и ни о чём"

Вы мне льстите. "Много и ни о чем" – это тоже сорт оф хобби.
Ни о чем, уважаемый, это постоянные ссылки и аппеляции к комментариям и высказываниям третьих лиц, которые не имеют практического значения в контексте безопасности и сохранения анонимности в TBB.
Да, вам знакомо такое выражение "смотрю в книгу – вижу фигу"? По-моему оно вам не только знакомо, но и выступает в роли девиза.

Надежность TBB не может характеризоваться самодостаточностью и рассматриваться отдельно. Одно из ключевых значений имеет окружение и системный подход. Надеюсь, вы это понимаете. Если вам нужно мало и обо всем, читайте твиттор.

Нестандартные плагины-качалки будут определяться экситом или ресурсом, с которого качают. Они могут и свой заголовок сайту посылать, а могут и как-то нестандартно трафик модулировать (многопоточное скачивание, интервалы, способы докачки и пр.). Это ухудшает ситуацию в плане профилирования в любом случае.

А стандартные? )) Что есть стандарт? Мы опять приходим к тому, что изучение и анализ TBB либо работы через Tor сторонними приложениями в лаборатории – это одно, повседневное использование – совсем другое. То, что в рамках лабораторных моделей будет на ладони, то в открытой Сети будет трудно вычленить. Плагины и примочки в основном для развлечений, для удобства пользования, серфинга, скачки и т. д.. Если требуется повышенная анонимность, то на другом конце провода не нужно наличие у вас в браузере ни флеша, ни каких-либо плагинов, ни дополнений.


Это можно протестировать на подконтрольном ресурсе, обращаясь к нему через Tor различными приложениями, включая чистый и модифицированный TBB, в различных режимах и делая выводы, что посылается в запросе, дифференцируя профили.

В этом случае к нашим услугам периодическая смена профилей, параллельный запуск нескольких различных копий TBB. Ресурсы, откуда качают булками, т. е. массово, специфичны, и с них как раз только так и тянут контент в основной своей массе. Среди них будет выглядеть белой вороной постоянное присутствие чистого TBB.

Вы же сами написали, что для построения защиты нужна конкретика. Если вопрошающий может быть всюду анонимен и нигде не светить своё ФИО — пожалуйста, пусть работает только через Tor, но мого ли таких? А если он использует ФИО и работает через Tor, то, в зависимости от ситуации, может сделать себе ещё хуже, чем было бы без Tor'а. Собственно, грубую черту можно провести по этому признаку. А дальше начинаются тонкости вида «размен анонимности на удобство» и всё такое, тут надо не переборщить. Но, как вы правильно отметили, каждый для себя решает, какие у него риски, модели угрозы и прочее.


Я с этим не согласен. Теория информации — жуткая и неумолимая штука, её очень трудно обмануть. Вон, изменение младших бит в стего, казалось бы, — вообще нейтральная модификация, ан нет, детектируется. Так же и тут. Можно до поры до времени надеяться на авось и прятаться, пока кто-то не напишет умный тул, анализирующий over9000 параметров и позволяющий с вероятностью 99% сказать, принадлежит ли профиль человеку или это флудил скрипт. Хуже того, ещё можно создать тул, который отфильтрует одно от другого. Panopticlick очень удачно продемонстрировал, как наличие всего-то нескольких признаков оказывается достаточным для уникальной идентификации юзера во всём Интернете. Раньше об этом как-то мало задумывались...


Что считать нейтральными роликами — каждый решает для себя сам, но оптимальней для нейтрального трафика иметь какой-нибудь VPN — это так, на всякий случай. :)


:D))) Вообще-то там в оригинале другая фраза была, но да ладно. :)


Мы в Париже, в КьюСиЭсе, обсуждали эти сети
И ДиАй и КьюКэДи, всю секьюрити страны.
Там мы Видик посмотрели, да мин-энтропи узрели,
Надломили ЭрЭсА, обсудили петуха.
Четвёрка дней промчалась быстро,
Ждите ролик неказистый.


Сложно, долго, муторно, геморройно, не все смогут провести, и нет гарантий, что всё будет учтено. Анализировать чужой сайт — это как анализировать чёрный ящик, последний всегда может найти способ обойти проверку.

А в Linux-то окно из-за интерфейса не отличается, всё отлично.

unknown, а почему Вы считаете, что размер окна должнен постоянно меняться? В Windows 7 и Linux оно у меня никогда не менялось.

Так задумано при каждой смене "личины" или рестарте. Чтобы при другом IP или с очищенными куками не было ясно — это тот же пользователь или другой.

Как правило, все теории жуткие и неумолимые. Полиграф тоже трудно обмануть, но возможно. Этому учат где надо. Речь не об этом.
На примере Крипты, EFFского теста на уникальность видно зачаточки, ростки, которых явно недостаточно для серьезного анализа, т. к. их обмануть не трудно. Определить уникальный, с определенной вероятностью, профиль не архисложно, т. к. один IP-адрес уже сильно сужает круг, скрипты, экран, куки, браузер, настройки – еще больше. Все так. Но это объективно и сложности в этом нет.
Поэтому с вами я здесь не соглашусь. Простейший пример. Я почему упомянул не флуд именно, а имитацию? Потому что её отличить крайне трудно будет, как я предполагаю. Что собой представляет журнал посещений вы знаете, URL, дата, время, метки. Скорми журнал скрипту, и он будет тупо серфить по журналу, согласно адресам и времени. Можно, добавить отклонения, менять местами адреса, прибавлять рандомные секунды и т. д. Куда уж примитивнее. Более интеллектуальная модель не намного сложнее, как мне видится, как концептульно так и при реализации. Вот работа для студентов: на выставках любят они роботов мастерить, робот-пользователь – сканирует экран монитора, анализирует на ссылки, манипулирует мышкой, красота! ))

На основе чего, тулза или оператор или группа лиц будет отличать бота от человека? Я допускаю, что есть нюансы и тонкие моменты, но на первый взгляд ничего принципиально нового или сложного здесь нет. Просто софта такого вроде бы нет. За ненужностью. Пока нет? А анализатор кто? Человек посередине (провайдер, например) или целевой сайт?


Респектую! :) Себя показали, других посмотрели, обсудили дела насущные. Немного завидую, хотя от большой науки я очень и очень далек. Чем дальше в лес, тем больше ощущаю недостаток знаний. Поэтому в чащу не захожу, так, вдоль опушки гуляю)
Ролик будет интересно посмотреть, да и ваши ссылки за неимением времени, не всегда успеваю даже индексировать, но свежую струю, как и Админы сайта вы вносите исправно. Да, а RSA сильно надломили-то?


Да. А главное, "неактуально" и "бессмысленно". Что еще главнее, просто лень. Оттого лень, что смысл и актуальность этого действа под большим вопросом в плане практики. Теоретически это весьма любопытно было бы, думаю.