Adobe Flash, Vidalia Bundle, Torbutton, Firefox 3.6 и др. официальные лица

Учитывая, что они эти дыры латают по пять штук в месяц, какова вероятность, что у кого-нибудь не припасено ещё с дюжину 0-day'ев?

Позиция разработчиков разъяснена в официальном документе:
The Design and Implementation of the Tor Browser [DRAFT].

В частности, TB пропатчен так, чтобы нельзя было поставить никаких плагинов кроме Flash/Gnash. Их, похоже, скрепя зубами разрешают, как неизбежное зло:

Currently, we entirely disable all plugins in Tor Browser. However, as a compromise due to the popularity of Flash we intend to work towards a click-to-play barrier using NoScript that is available only after the user has specifically enabled plugins

В каждом абзаце Flash и пр. плагины упоминаются скорее в негативных аспектах:

# Plugins must be restricted

Even if plugins always properly used the browser proxy settings (which none of them do) and could not be induced to bypass them (which all of them can), the activities of closed-source plugins are very difficult to audit and control. They can obtain and transmit all manner of system information to websites, often have their own identifier storage for tracking users, and also contribute to fingerprinting.

All plugins that have not been specifically audited or sandboxed MUST be disabled. To reduce linkability potential, even sandboxed plugins should not be allowed to load objects until the user has clicked through a click-to-play barrier. Additionally, version information should be reduced or obfuscated until the plugin object is loaded.

Flash cookies

Design Goal: Users should be able to click-to-play flash objects from trusted sites. To make this behavior unlinkable, we wish to include a settings file for all platforms that disables flash cookies using the Flash settings manager.

Implementation Status: We are currently having difficulties causing Flash player to use this settings file on Windows, so Flash remains difficult to enable.

Т.е. проблемы со связываемостью, утечками (хотя бы через Tor) и потенциальными уязвимостями полностью никуда не исчезают, хотя разработчики и стараются их слегка прикрыть (чисто косметически).

Ничто не мешает тому же флэшу собрать неизвестно какие (какие-угодно) сведения о системе и отослать их через Tor. То, что какие-то сайты-детекторы ещё не умеют вызывать такие функции, не является гарантией того, что в закрытом коде нет такой возможности. Так же как и то, что через Flash может осуществляться передача не конкретной информации, а отпечатков уникальных идентифицирующих данных (посредством тех же флэш-кукисов). Так же, как нет гарантии того, что у плагина не существует механизма обхода прокси-настроек браузера, который из бага могли переделать в скрытую фичу. Также как нет никаких гарантий по поводу любых других возможностей в закрытом коде, которые лишь мешают приватности/анонимности, но не являются дырами по мнению коммерческих фирм типа Adobe.

Похоже я отстал от жизни капитально...

cовсем чуток.
Адобовские гаденыши начали латать эту уязвимость с версии 11.0.1.152 а в 11.1.102.55-довершили.- чему я тоже очень рад. но надолго ли это всё, вот в чем вопрос ?

Torbutton(1.2.4)

Криотехника?

Flash и Анонимность все таки совместимы
http://www.recognecity.com/abo.....ta/anonym-flash.html

еще один эксперимент с версией 11.1.102.55
влючены js и flash. врубаем wireshark, идем на youtube (простой и с html5) запускаем ролик, смотрим логи – все отлично, утечек dns нет !

захожу на http://ip-check.info/?lang=en, flash сливает меня прову – DNS(53) what-is-my-ip-address.anonymous-proxy-servers.net
от же сволочь :)! что он там такое воткнул на сайте, фриц-барыга ?! капец короче !
как был флеш злом так и остался, туды его в качель :)

зы: youtube – нубы :)

Какая система у вас?

Какая система у вас?

winxp sp3

зы: "красноглазики" смоделируйте плиз у себя такую же ситуацию (только начистую, без виртуалки)
как оно будет...?

ззы: Torbutton снять галку Disable plugins during Tor usage (crucial) (если кто не знает).

В службах DNS-клиент (может называться по другому) отключали?

Вот тут все так?
https://www.pgpru.com/soft/ras.....ijafirefox#h42714-62

В службах DNS-клиент (может называться по другому) отключали?

вай-вай, что Вы такое говорите?! o_O
Это как "Отче наш" – давно уже зарублены все службы по самое немогу.

ну а ff фишка типа: network.proxy.socks_remote_dns -> true – дак это вообще как два пальца. about:config у меня практически непробиваем.

зы скорее всего html5(к сожалению не силен в этом) – какие-то супер навороченные свистоперделки на ip-check.info

А в 3.6 как?

Еще похожее:
http://www.pgpru.com/forum/ano.....rnet/rabotachereztor

А в 3.6 как?

Что как? Частично же поддерживается, но этого по всей видимости и "хватает" :(

там какая-то гадость генерируется на странице
типа:
//ipcheck.info/authAttack.php?id=995933364 //Session:995933364@ipcheck.info/auth.css.php //ftp://ip-check.info/yujmx8rsjzj0sr7p9r21js0ip_ftp173.254.192.35/FTPTest.css

В Adblock Plus зарубил по маскам:
/ipcheck.info/*Attack*
/Session:*/*.php
немного помогало, но вот не помню, с включенным флэшем раньше как-то не обращал внимания.

Короче в очередной раз убеждаешься что флэш и анонимус не совместимы и точка.