Аутентификация TOR

Это граф. интерфейс, который называется Vidalia, спрашивает пароль, чтобы отправлять сигналы процессу тора, т.к. они созданы в качестве раздельных программ.

Это межпрограммная коммуникация осуществляется локально, пароль нужен для отсутствия локального перехвата, на посещение сайтов это никак не влияет, пароль никуда отсылаться, естественно, не должен.

что он делает с этим паролем, как использует?

Вот представьте, что пароля нету, а Tor запущен, слушает на каком-нибудь 127.0.0.1:9050. В это время другой юзер на вашем же ПК, от имени которого запущена какая-нибудь дрянь типа Skype или Flash, отправляет пакет на 127.0.0.1:9050 и смотрит, с какого эксита пришёл ответ. Вуаля, ваш эксит известен врагу. Далее пересмотром трафика, который шёл с эксита, можно найти и тот другой, что принадлежал вам, итого имеем полный деанон. Описанный сценарий более, чем реалистичен.

P.S. Проблема смешения профилей уже неоднократно обсуждалась на форуме, подробнее см. п.2 в чёрном FAQ'е, а также [1], [2], [3], [4], [5].

Хуже — без пароля было бы возможно безконтрольно почти полностью управлять поведением тора, например поменять конфиг.

Поменять конфиг чтобы, нужны права. Другой пользователь по умолчанию прав на изменение файлов в чужой директории не имеет.

Поменять конфигурацию Tor'а на лету может любой желающий, подключившийся (в том числе и локально) через control port. Чтобы этого не допустить и используется аутентификация.

Интересно. И как много параметров соединения можно поменять через Control Port? Почти все, вплоть до выбора нужного exit'а? Дело спасает то, что до видалии не было никакой нужды включать Control Port в конфиге, так что его попросту не было. Тем не менее, даже исходя из общих соображений, необходимость борьбы с такого рода утечками осознавалась ещё давно.

Вот представьте, что пароля нету, а Tor запущен, слушает на каком-нибудь 127.0.0.1:9050. В это время другой юзер на вашем же ПК, от имени которого запущена какая-нибудь дрянь типа Skype или Flash, отправляет пакет на 127.0.0.1:9050 и смотрит, с какого эксита пришёл ответ.

Хорошее решение. Тогда объясните мне каким образом всякие криптософтовые кошельки при настройке маршрута через тор без пароля (пароль там вообще не предусмотрен) успешно связываются с чем им надо при запущенной из коробки видалии при включенной в ней в настройках по умолчанию 'Randomly Generate'?
Эта полезная кстати сказать фича работает или нет? Если работает, тогда как сторонний софт связывается через ТОР? А если нет. тогда получается что настройки Видалии ни на что не влияют?

В последних версиях TBB на socks-порту есть авторизация. Убедиться в её наличии можно запустив 2 TBB подряд: видалия после этого сразу выдаёт окошко «хотите ли авторизовать такое-то приложеное?» (как-то так). Правда, авторизацию на порту по умолчанию ввели не так давно — несколько месяцев назад. Проверьте ваши эксперименты на последней версии бандла.

Хотя нет, там, кажется, всё веселее. :-) Пароль предусмотрен для доступа к Control Port, а на Socks Port, на котором он слушает перенаправляемый трафик, я так и не понял, предусмотрено что-нибудь или нет. Если нет, то уже всё сказано. 9150 — SocksPort, 9151 — ControlPort, вроде так сейчас.

Господа, вы согласны? Достоин ли такой элементарный полный деанон тикета на trac.torproject? Или это не баг, а задокументированная фича? Файерволл не предлагать, потому что сейчас речь не о нём, а о массовых юзерах.

Не нашел там элементарного и полного. Неприятно конечно, но запаролить сокс порт нельзя. (Есть лишь SocksPolicy для адресов.) Вот только у массового юзера это будет возможно последнее чем его будут деанононить.

В опциях есть возможность изоляции цепочек для разных пользователей. Так вот тор клиент может различать пользователя по логину и паролю для сокс порта. Паролей тор не умеет для авторизации, но умеет для изоляции, и никаких общих экситов у вас и вашего скайпика не будет, если только скайпик не скомуниздит используемые кренделя. Это то что вы искали, гарантирую.
Читаем в мануале для SockPort

The _isolation flags_ arguments give Tor rules for which streams

received on this SOCKSPort are allowed to share circuits with one
another. Recognized isolation flags are:

• *IsolateSOCKSAuth**;;
  Don't share circuits with streams for which different
  SOCKS authentication was provided. (On by default;
  you can disable it with NoIsolateSOCKSAuth.)

Фигня этими с паролями для изоляции. Firefox не умеет в пароли без запросов со стороны сервера, никаких опций. Значит "элементарный полный деанон".