Adobe Flash, Vidalia Bundle, Torbutton, Firefox 3.6 и др. официальные лица
Похоже я отстал от жизни капитально...
На днях обновил Adobe Flash Player с 10.0... до v11.1.102.55 и теперь при включенных js и плагинах(!) в Torbutton(1.2.4) заходим на http://whoer.net/ext
и видим...
Запускаем Wireshark или простой аналог SmartSniff и...утечек DNS и в помине нет!
Нихуево девки пляшут © Чуть со стула не упал o_O
wow теперь и youtube спокойно позырить мона)
p.s. Получается, что долбанный Adobe, наконец-то залатал конкретную дыру у себя в заднице?!
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Позиция разработчиков разъяснена в официальном документе:
The Design and Implementation of the Tor Browser [DRAFT].
В частности, TB пропатчен так, чтобы нельзя было поставить никаких плагинов кроме Flash/Gnash. Их, похоже, скрепя зубами разрешают, как неизбежное зло:
В каждом абзаце Flash и пр. плагины упоминаются скорее в негативных аспектах:
Т.е. проблемы со связываемостью, утечками (хотя бы через Tor) и потенциальными уязвимостями полностью никуда не исчезают, хотя разработчики и стараются их слегка прикрыть (чисто косметически).
Ничто не мешает тому же флэшу собрать неизвестно какие (какие-угодно) сведения о системе и отослать их через Tor. То, что какие-то сайты-детекторы ещё не умеют вызывать такие функции, не является гарантией того, что в закрытом коде нет такой возможности. Так же как и то, что через Flash может осуществляться передача не конкретной информации, а отпечатков уникальных идентифицирующих данных (посредством тех же флэш-кукисов). Так же, как нет гарантии того, что у плагина не существует механизма обхода прокси-настроек браузера, который из бага могли переделать в скрытую фичу. Также как нет никаких гарантий по поводу любых других возможностей в закрытом коде, которые лишь мешают приватности/анонимности, но не являются дырами по мнению коммерческих фирм типа Adobe.
Адобовские гаденыши начали латать эту уязвимость с версии 11.0.1.152 а в 11.1.102.55-довершили.- чему я тоже очень рад. но надолго ли это всё, вот в чем вопрос ?
http://www.recognecity.com/abo.....ta/anonym-flash.html
влючены js и flash. врубаем wireshark, идем на youtube (простой и с html5) запускаем ролик, смотрим логи – все отлично, утечек dns нет !
захожу на http://ip-check.info/?lang=en, flash сливает меня прову – DNS(53) what-is-my-ip-address.anonymous-proxy-servers.net
от же сволочь :)! что он там такое воткнул на сайте, фриц-барыга ?! капец короче !
как был флеш злом так и остался, туды его в качель :)
зы: youtube – нубы :)
зы: "красноглазики" смоделируйте плиз у себя такую же ситуацию (только начистую, без виртуалки)
как оно будет...?
ззы: Torbutton снять галку Disable plugins during Tor usage (crucial) (если кто не знает).
https://www.pgpru.com/soft/ras.....ijafirefox#h42714-62
Это как "Отче наш" – давно уже зарублены все службы по самое немогу.
ну а ff фишка типа: network.proxy.socks_remote_dns -> true – дак это вообще как два пальца. about:config у меня практически непробиваем.
зы скорее всего html5(к сожалению не силен в этом) – какие-то супер навороченные свистоперделки на ip-check.info
http://www.pgpru.com/forum/ano.....rnet/rabotachereztor
типа:
В Adblock Plus зарубил по маскам:
/ipcheck.info/*Attack*
/Session:*/*.php
немного помогало, но вот не помню, с включенным флэшем раньше как-то не обращал внимания.
Короче в очередной раз убеждаешься что флэш и анонимус не совместимы и точка.