— SATtva (21/12/2011 12:17)   
Учитывая, что они эти дыры латают по пять штук в месяц, какова вероятность, что у кого-нибудь не припасено ещё с дюжину 0-day'ев?

— unknown (21/12/2011 12:32, исправлен 21/12/2011 12:53)   

Позиция разработчиков разъяснена в официальном документе:
The Design and Implementation of the Tor Browser [DRAFT]^[link1].

В частности, TB пропатчен^[link2] так, чтобы нельзя было поставить никаких плагинов кроме Flash/Gnash. Их, похоже, скрепя зубами разрешают, как неизбежное зло:

Currently, we entirely disable all plugins in Tor Browser. However, as a compromise due to the popularity of Flash we intend to work towards a click-to-play barrier using NoScript that is available only after the user has specifically enabled plugins

В каждом абзаце Flash и пр. плагины упоминаются скорее в негативных аспектах:

# Plugins must be restricted

Even if plugins always properly used the browser proxy settings (which none of them do) and could not be induced to bypass them (which all of them can), the activities of closed-source plugins are very difficult to audit and control. They can obtain and transmit all manner of system information to websites, often have their own identifier storage for tracking users, and also contribute to fingerprinting.

All plugins that have not been specifically audited or sandboxed MUST be disabled. To reduce linkability potential, even sandboxed plugins should not be allowed to load objects until the user has clicked through a click-to-play barrier. Additionally, version information should be reduced or obfuscated until the plugin object is loaded.

Flash cookies

Design Goal: Users should be able to click-to-play flash objects from trusted sites. To make this behavior unlinkable, we wish to include a settings file for all platforms that disables flash cookies using the Flash settings manager.

Implementation Status: We are currently having difficulties causing Flash player to use this settings file on Windows, so Flash remains difficult to enable.

Т.е. проблемы со связываемостью, утечками (хотя бы через Tor) и потенциальными уязвимостями полностью никуда не исчезают, хотя разработчики и стараются их слегка прикрыть (чисто косметически).

Ничто не мешает тому же флэшу собрать неизвестно какие (какие-угодно) сведения о системе и отослать их через Tor. То, что какие-то сайты-детекторы ещё не умеют вызывать такие функции, не является гарантией того, что в закрытом коде нет такой возможности. Так же как и то, что через Flash может осуществляться передача не конкретной информации, а отпечатков уникальных идентифицирующих данных (посредством тех же флэш-кукисов). Так же, как нет гарантии того, что у плагина не существует механизма обхода прокси-настроек браузера, который из бага могли переделать в скрытую фичу. Также как нет никаких гарантий по поводу любых других возможностей в закрытом коде, которые лишь мешают приватности/анонимности, но не являются дырами по мнению коммерческих фирм типа Adobe.

— Гость (21/12/2011 14:07)   

Похоже я отстал от жизни капитально...

cовсем чуток.
Адобовские гаденыши начали латать эту уязвимость с версии 11.0.1.152 а в 11.1.102.55-довершили.- чему я тоже очень рад. но надолго ли это всё, вот в чем вопрос ?

— Гость (21/12/2011 14:20)   

Torbutton(1.2.4)

Криотехника?

— Гость (21/12/2011 17:32)   
Flash и Анонимность все таки совместимы
http://www.recognecity.com/abo.....ta/anonym-flash.html^[link3]

— Гость (16/01/2012 11:27)   
еще один эксперимент с версией 11.1.102.55
влючены js и flash. врубаем wireshark, идем на youtube (простой и с html5) запускаем ролик, смотрим логи – все отлично, утечек dns нет !

захожу на http://ip-check.info/?lang=en, flash сливает меня прову – DNS(53) what-is-my-ip-address.anonymous-proxy-servers.net
от же сволочь :)! что он там такое воткнул на сайте, фриц-барыга ?! капец короче !
как был флеш злом так и остался, туды его в качель :)

зы: youtube – нубы :)

— Гость (16/01/2012 11:57)   
Какая система у вас?

— Гость (16/01/2012 12:12)   

Какая система у вас?

winxp sp3

зы: "красноглазики" смоделируйте плиз у себя такую же ситуацию (только начистую, без виртуалки)
как оно будет...?

ззы: Torbutton снять галку Disable plugins during Tor usage (crucial) (если кто не знает).

— Гость (16/01/2012 12:14)   
В службах DNS-клиент (может называться по другому) отключали?

— Гость (16/01/2012 12:16)   
Вот тут все так?
https://www.pgpru.com/soft/ras.....ijafirefox#h42714-62^[link4]

— Гость (16/01/2012 12:27)   

В службах DNS-клиент (может называться по другому) отключали?

вай-вай, что Вы такое говорите?! o_O
Это как "Отче наш" – давно уже зарублены все службы по самое немогу.

ну а ff фишка типа: network.proxy.socks_remote_dns -> true – дак это вообще как два пальца. about:config у меня практически непробиваем.

зы скорее всего html5(к сожалению не силен в этом) – какие-то супер навороченные свистоперделки на ip-check.info

— Гость (16/01/2012 12:39)   
А в 3.6 как?

— Гость (16/01/2012 12:42)   
Еще похожее:
http://www.pgpru.com/forum/ano.....rnet/rabotachereztor^[link5]

— Гость (16/01/2012 12:50)   

А в 3.6 как?

Что как? Частично же поддерживается, но этого по всей видимости и "хватает" :(

— Гость (16/01/2012 13:19)   
там какая-то гадость генерируется на странице
типа:
//ipcheck.info/authAttack.php?id=995933364 //Session:995933364@ipcheck.info/auth.css.php //ftp://ip-check.info/yujmx8rsjzj0sr7p9r21js0ip_ftp173.254.192.35/FTPTest.css

В Adblock Plus зарубил по маскам:
/ipcheck.info/*Attack*
/Session:*/*.php
немного помогало, но вот не помню, с включенным флэшем раньше как-то не обращал внимания.

Короче в очередной раз убеждаешься что флэш и анонимус не совместимы и точка.

— Гость (16/01/2012 13:29)   
А по последней ссылке вы ходили?

— Test_Failure (16/01/2012 14:26)   
JohnDonym – люди ZOGa

— Гость (16/01/2012 15:23)   
Что характерно реальный IP нигде не палится. Даже пресловутый JohnDonym обламывается, уже всё проверил. Хоть немного заплатки адоба работают.
А вот провайдер подлец в курсе. Хотя мой – пофигист редкостный и разгребать, тем более DNS... да он лучше повесится.

зы: ладно, ушел youtube смотреть...

— Гость (16/01/2012 15:34)   
Да еще забыл добавить. Сниффером то видны обходы флэшом на 53 (на /ip-check.info/?lang=en)
А вот Vidalia молчит как партизан. Хотя обычно в логе там столько крику типа: ОПАСНО! Одно из ваших приложений идет в обход Tor – произведена блокировка.

Весьма удивительно всё это.

— Гость (16/01/2012 16:17)   
А что насчет обьединения плагин контейнера с браузером или проксификатор для плагин контейнера?

— Гость (16/01/2012 17:56)   
Рехнуться можно...

всё идеально, анонимус счастлив:
– http://www.adobe.com/swf/softw...../flash_animation.swf^[link6]
– http://browserspy.dk/flash/flashinfo.swf
– http://youtube.com

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
http://ip-check.info/files/flash009/AnonPrj.swf – уходит запрос на 53-й
мистика!
OMG! как же меня достала эта паранойя!:(
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

А что насчет обьединения плагин контейнера с браузером

плагин контейнер у меня отключен:
dom.ipc.plugins.enabled -false dom.ipc.plugins.enabled.npctrl.dll -false dom.ipc.plugins.enabled.npqtplugin.dll -false dom.ipc.plugins.enabled.npswf32.dll -false dom.ipc.plugins.enabled.nptest.dll -false

— Гость (08/08/2013 02:18)   
У меня http://ip-check.info/ засвечивает красным Authentication:
Session:638431048@ipcheck.info/auth.css.php (в окошке при наведении на Authentication)
"Your unique ID: 1285245030" (эта надпись не копируется, не видна при откюченном css) bad
Если дело во разрешенном флэше то почему меня блин светит? У меня же стоит плагин Flashblock!
Что за хрень эта Authentication, каким настройкам FF она соответствует? От разрешенных шифров для SSL3 она зависит? От размера окна браузера как убедился Session и ID не зависят.


Signature: "fa94384392e54e3f48848f6c5d614062 (Firefox/Polipo)" medium
Непонятно о чем параметр. Это ЭЦП от текста "Firefox/Polipo"?


User-Agent был: "Mozilla/5.0 (Windows NT 6.1; rv:5.0) Gecko/20100101 Firefox/5.0"
но сайт его зачморил красным bad. Пишет что рекомендуется "Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20100101 Firefox/17.0"
Это действительно так, ставить "17.0" лучше?


Language пустой, сайт пишет что рекомендуется "en-us,en;q=0.5", но ни один параметр FF со словом language такую надпись в таблице не устанавливает. Нужен ли пробел между "en-us," и "en;q=0.5"? В about:config есть два параметра extensions.torbutton.spoof_language и intl.accept_languages со значением "en-us, en" (с пробелом).


Charset поставлен: iso-8859-1,utf-8;q=0.7,*;q=0.7
как рекомендуемый, только в рекомендуемом стоит ISO (капсом), это важно? Но даже если поставить ISO-8859-1 или даже как было windows-1251 все равно будет оранжевый medium.


Browser window: "1024 x 602 pixels (inner size)" medium
на сайте говорят что исправить невозможно. Но кем то утвеждалось что ТОР округляет до кратности 50. Почему у меня не округляет? Кстати, цифры меняются без перезагрузки станицы синхронно с изменением размера окна. При откючении css надпись с цифрами не видна. Непонял, эти цифры вижу только я в браузере или сайт тоже видит?


Fonts: "Do you see strange symbols here? If yes, your fonts are readable!" good
Рекомендуется Prevent that your browser reloads fonts using the @font-face CSS attribute.
Непонял, у меня стоит то что рекомендуется или другое?

— Гость (11/08/2013 18:27)   

Возможно, речь о механизме HTTP Autherntication. Сайт может им воспользоваться, чтобы вас якобы авторизовать, а на самом деле получить какую-то информацию или идентификатор, чтобы потом использовать его для иных целей.


Это скорее hash от user agent или от user agent + другие параметры.


Наверно, сайт хочет сказать, что 17.0 популярнее, потому лучше маскироваться под него.


Как отключали CSS?


У ip-check.info могут быть собственные взгляды на анонимность, не совпадающие со взглядами Tor Project. Последний считает, что отказаться от предоставления шрифтов — это слишком. Вместого этого предлагаются другие методики^[link7]. Однако, недавно было показано, что по факту методики не работают^[link8] и Tor Project со своим подходом смачно сел в лужу:

исследователям удалось выяснить, что эта защита обходится и список всех шрифтов может быть выявлен. Патч, исправляющий данную уязвимость был отправлен в Torproject.

А всё идёт от юзерофилии, типа сайты некрасиво будут выглядеть, если фонты совсем запретить, поэтому лучше с гламурной юзерофилией и периодическими деанонами. Наверно, не требует пояснений тот факт, что если какой-то пользователь в ОС ходит в сеть неанонимно, то список его шрифтов всем известен. Когда этот же пользователь потом идёт в сеть через Tor, любой сайт узнаёт его набор шрифтов снова. Совпадение набора шрифтов даёт полный деанон, но никто об этом не кричит. В текущей версии TBB, я так понимаю, проблема так и остаётся неисправленной. Сейчас хотел зайти посмотреть тикет — сайт не открывается. Вот как это может быть? Падают чекеры по сто раз на дню, падают сайты, а проект критический, 800e3 юзеров. Такое впечатление, что на пофикс даже известных багов там всех пофиг, они предпочитают все ресурсы тратить на обновление до текущей версии FF, а не на пофиксы. Якобы с обновлением FF ошибки и баги исчезают сами собой, ага.

— Гость (14/08/2013 03:33)   

Незнаю как но после небольшого ковыряния about:config удалось сбросить этот параметр в medium. ID больше не отображается. Session:638431048 одинаковая для всех, как я понял.

В руководствах tor я встречал версию 5.0. Кто то вообще предлагает пустую строку.
У меня параметр general.useragent.override постоянно сбрасывался с 17.0 на 5.0, пока не поставил 17.0 не только на параметр general.useragent.override как рекомендуется, но также на extensions.torbutton.useragent_override.

Это плагин QuickJava. Если в настройках выставить флажки в Statusbar Iron Button, то на панели дополнений появятся кнопки включения/отключения настроек браузера Javascript, Java, Flash, SilverLight, Images, Stile и Proxy. Блокировки плагинов они не отменяют. Java (выкл), SilverLight (выкл) и Proxy (вкл) настоятельно рекомендую не отображать, чтобы случайно не переключить. Жалко такой кнопки нет для кук, часто забываю их отрубить.

Я это уже видел и отрубил. Но из текста ip-check.info это было не ясно.

По размерам экрана разобрался. Я помню давно размер окна FF у меня постоянно прыгал. Думал это глюки FF, оказывается это делал ТОР для безопасности. Поскольку я люблю выравнивать окно по правому верхнему углу, окно у меня постоянно отпрыгивало от границы экрана, и я иногда попадал на кнопку "закрыть" нефокусного окна вместо кнопки фокусного. Поэтому я и поставил все окна на "развернуть", хотя не следовало.

По language и charset вопросы не сняты. Различает ли сайт пробел в "en-us, en", видит ли капс/некапс в "iso-8859-1,utf-8;q=0.7,*;q=0.7"?

— SATtva (14/08/2013 07:38)   
А Вы поставьте http://livehttpheaders.mozdev.org/ и смотрите, какие заголовки и в каком виде отдаёт браузер.

— Гость (14/08/2013 11:07)   
А что за ff используется? Простой не tbb? Ибо с ТВВ захожу на jonDO-test и вообщем-то результаты удовлетворительные.

— Гость (15/08/2013 23:28)   

Гость, судя по всему, использует TBB, который он пытается допилить самостоятельно до нужной кондиции, поскольку желает результаты не удовлетворительные, а отличные. Правда, Гость опускает тот момент, что улучшение результатов приводит к профилированию, и чем больше настроек он поменяет, тем точнее сайты смогут его распознавать. Как минимум, он этим меняет анонимность на псевдонимность, как максимум — вплоть до деанона.

Анонимность задаётся политикой, выставляемой для большинства, и её выставляет Tor-проект, а не ip-check.info и не pgpru.com. Я бы посоветовал больше использовать те методы защиты, которые не приводят к большему профилированию: настройка firewall'а, частая смена личины и удаление куков, помещение TBB в отдельную виртуалку со своими настройками для каждого профиля. Можно отключить JS. Если это сделано, то всё остальное — имхо, слишком сомнительно. Отключение JS уже приводит к некоторому профилированию, а если отключить ещё и куки с реферером, то будет совсем классно. Для скрытых сервисов, оно, может, и ОК, но для обычных сайтов в инете, особенно регулярно посещаемых, это совсем не ОК.

Наконец, ставить дополнительные плагины, не прошедшие аудит в TBB — это уже совсем ни в какие ворота не лезет. Всё-таки, одно дело — поковыряться в about:config, а другое — поставить себе в браузер софт от хрен знает кого и с непонятным функционалом. Конечно, виртуалки и файерволлы скрасят проблемы, случись что, но у многих ли они есть? Вот тот же вышеупомянутый плагин QuickJava... его автор подписывает своё изделие с помощью PGP? Или вы доверяете вообще всем плагинам с сайта мозиллы? К примеру, HTTPS-Everywhere имел PGP-подпись. Как дела обстоят с noscript — не знаю. Может ли автор noscript добавить «правильный функционал» в свой код так, чтобы TBB его включил в бандл, подписал, и все получили очередную неочевидную уязвимость?

— Гость (16/08/2013 00:16)   

Автор noscript'а ничего не подписывает, он даже велосипед от мазиллы для подписи расширения не использует. Всё на доверии всех ко всем.
Но это ещё не всё. TBB сам обновляет расширения с сайта мазиллы. Вы ещё проверяете подписи? Тогда обновление идёт к вам.
Теперь можно паниковать.

— Гость (16/08/2013 01:47)   

судя по всему, использует TBB, который он пытается допилить самостоятельно

Частенько сталкиваюсь с непониманием разницы между TBB и FF настроенного через Tor, а порой и иного браузера с просто прописанным соксом. Отсюда и подход: Ковырять любой браузер без разбора.

помещение TBB в отдельную виртуалку

Имхо, можно в песочницу, как вариант.

в свой код так, чтобы TBB его включил в бандл,

Видимо я что то не понял, но этот плакин включен в бандл.

TBB сам обновляет расширения с сайта мазиллы

Что именно САМ он у Вас обновляет?

— Гость (16/08/2013 03:21)   

TBB в процессе работы сам обновляет плагин noscript? Вы ничего не путаете?


Какой эпик... Хотя бы такую матчасть надо же знать! Новая эра началась с этой новости^[link9]. По-простому говоря, TBB = FF + специальные патчи для анонимности. В других браузерах никто эти патчи писать не будет, в дефолтном FF их тоже нет, плагинами и настройками этого также не добиться. Кроме того, все должны использовать какой-то один браузер, чтобы быть неразличимыми.


Имелось в виду "плагин с зловредным кодом".

— unknown (16/08/2013 10:41)   

Новость и коменты вам прочитать уже посоветовали, там многое обяснено, но вот вкратце набор того^[link10], чего нет и скорее всего никогда не будет в FF, но соответственно есть и критично в Tor Browser.

— Гость (16/08/2013 11:01)   

Хотя бы такую матчасть надо же знать!

Вот Вы даете.. ))) Сталкиваюсь при общении с пользователями у которых есть такое непонимание ))
Наверно я некорректно выразил свою мысль ))

Новость и коменты вам прочитать уже посоветовали,

Я не топикстартер )))

Второй человек неправильно понял.. Значит неправильно составлено предложение.

— Гость (16/08/2013 11:05)   
ЗЫ хотя как можно часто сталкиваться со своим (!) непониманием?

Частенько сталкиваюсь

в любом случае два – это уже статистика )

— Гость (20/08/2013 18:15)   

В общем, да. Как раз недавно вот так автоматически у всех был обновлён HTTPS Everywhere. При амнезии по снапшотам бандла (rdiff-backup) все изменения чётко видны, причём меняется при обновлениях многое, впоть до каких-то файлов сертификатов (не знаю, что в них было, и зачем меняли). TorProject какие-то части самого FireFox тоже таким образом может обновлять?

— Гость (20/08/2013 18:22)   

Причём всё было по классике. Он скачал, ничего не сказал, нотификации не было. Зато после полного рестарта TBB вдруг сообщил в уведомлении, что «теперь ваши правила снова будут работать». Остаётся надеяться, что онлайн-обновления в TBB хоть как-то проверяются автоматически.

И всё-таки, какие именно расширения TBB сам обновляет с сайта мозиллы? Он автоматически обновляет noscript? Не знаю, как был обновлён HTTPS Everywhere, но на нём хотя бы PGP-подпись есть, потенциально её можно проверить. При автоматических обновлениях идёт доверие SSL-сертификату сайта с обновлением, более доверять нечему (а сертификаты легко обходятся, поэтому дальше можно не продолжать...).

Разработчики могли хотя бы заблокировать обновления всех расширений кроме тех, которые им жизненно нужны. Впрочем, имхо, и это лишнее. Каждое обновление, если оно критическое и действительно нужно, должно сопровождаться выходом новой версии TBB.

— Гость (20/08/2013 18:54)   
Обновляются все расширения, если не запретить. HTTPS Everywhere и Torbutton при обновлении используют механизм проверки подписи (это такой велосипед от Mozilla, но вроде как рабочий), которую может изготовить только разработчик(и). Поэтому доверять сайту не требуется.
С Noscript всё намного хуже. Механизма проверки подписи не использует. Не существует ничего похожего на хэш и тем более pgp-подписи. Нет официального репозитария, где можно было бы наблюдать процесс разработки. Всё, что имеется в оригинале от автора расширения — это набор zip-архивов, который лишь предположительно принадлежит автору.

— Гость (20/08/2013 19:45)   
Интересно. А как TBB определяет, что ему надо обновить какие-то из расширений? Периодически ходит на сайт мозиллы или узнаёт об этом с check.torproject.org?

По умолчанию noscript вроде бы ничего не блокирует, хотя и стоит в TBB, поэтому, может быть, никто ничего не потеряет, если его попросту оттуда удалить руками? К профилированию это не должно привести. Или всё не так просто?

— Гость (20/08/2013 20:26)   

Да.

— Гость (20/08/2013 23:15)   
Тогда стоит в about:config в TBB прописать что-то иное вместо mozilla.org(?).

— Гость (27/08/2013 02:03)   

Мне этот вопрос тоже непонятен. Сайт постоянно шлёт запросы к браузеру, чтобы в реальном времени отображать текущий размер окна?

И ещё такой вопрос: что такое «внутренний размер» окна? Есть ещё и внешний? Однозначно ли они связаны? Какой из этих размеров выставляет TBB при старте и почему?

— Гость (29/08/2013 09:36)   
Внутренний это где отображается только сама картинка с сайта, её размеры могут быть нужны сайту для выдачи подходящего под размеры изображения, а внешний ещё и рамка, меню, вкладки и прочие "рюшечки" браузера и ОС, о которых по идее сайту знать не нужно.

— Гость (29/08/2013 23:42)   

Вот поэтому это меня и удивило. Думал, что вдруг и внутренее и внешнее окно относятся к той области, где отображается web-страница, но всё оказалось банально.

— Гость (11/11/2013 08:01)   
Подскажите, что изменилось в последних версиях 11.9.900.117 плагина Adobe Flash? Раньше я скачивал его полный установщик со стороннего сайта, а сейчас там лежит обновление весом 27 кБ.
Оно что-то докачивает или "компилируется" всё само, как при установке Chrome? В папке C:\WINDOWS\system32\Macromed\Flash есть два файла ~ 15МБ, которые я не помню чтобы скачивал...

— SATtva (11/11/2013 11:41)   
Компилирует? Вы Windows с Gentoo Linux не путаете?

Этот файл загружает и устанавливает с сервера Adobe эксплойт Flash под Вашу платформу. В общем, работает, как типичный троян, ничего страшного.

— Гость (12/11/2013 16:51)   

обновление весом 27 кБ

Да, это хитрожопый онлайн-инсталлятор.
По поводу Adobe Flash, можете всегда брать свежий здесь http://portableappz.blogspot.com/ – он портабельный; распаковываете 7zip и получаете оригинальный заверенный ZOGом NPSWF32.dll [[http://portableappz.blogspot.c.....0318042-plugins.html^[link13]
Версия 11.9.900]]

Также можно брать (пока дают) из адобовского архива^[link14]

— Гость (12/11/2013 18:23)   
Прямые сслыки http://forum.ru-board.com/topi.....opic=8028&start=2620^[link15]