Как сменить название браузера в TOR Bundle
Пользуясь Tor Browser Bundle (так как своим знаниям в настройке по отдельности я не очень доверяю) я немного опасаюсь деанонимизации по версии барузера и особенно движка которую он выдает сайтам Gecko/20100401 Firefox/3.6.3 (все таки уже достаточно устаревшая версия и я так думаю она может быть у меня одного).
Вопрос к знатокам – как в этой сборке (вместо привокси в котором вроде можно было подменять юзер агента, тут полипо) поменять идентификатор браузера?
Ссылки
[link1] https://pseudo-flaw.net/content/tor/torbutton/
[link2] https://pseudo-flaw.net/tor/torbutton/unmask-screen-xpcnativewrapper.html
[link3] https://pseudo-flaw.net/tor/torbutton/unmask-screen-iframe-javascript.html
[link4] http://archives.seul.org/or/talk/Dec-2010/msg00099.html
[link5] http://what-is-my-ip-address.anonymous-proxy-servers.net/
[link6] http://www.w3.org/TR/css3-mediaqueries/
[link7] http://cryptome.org/0005/tempest-tv.pdf
[link8] https://www.pgpru.com/chernowiki/rukovodstva/voprosykandidatyvfaq/anonimnostjobschievoprosy#h36800-2
Наоборот, user-agent опеределён единым для всех пользователей расширения Torbutton, устанавливаемого в Tor Browser Bundle (если точней, то всё зависит от версии торбаттона, но синхронизируют юзер-агента с реальностью очень редко из опасений этого самого "деанона").
Хотелось бы не как в реальности, а прописать что то свое ))) в данный момент я жестко палюсь именно из за того что НИ У КОГО больше из посетителей нужного мне ресурса нет такой версии браузера. Неужели ничего нельзя сделать ))
Значит, вы будете ещё жёстче палиться из-за того, что вы вероятно единственный посетитель этого ресурса из сети Tor (что детектится по публично доступному списку исходящих Tor-узлов), у которого при этом браузер не из Torbutton.
Разве что, после выхода из Tor, придётся присоединять в цепочку дополнительный прокси, но не будете ли вы при этом также уникально палиться?
Прокси на выходе уже поставил и не один (меняю при перезаходе) – тут все нормально ))) осталось с браузером решить и вообще жизнь наладиться
А в Tor Browser Bundle это дополнение не идет?
User Agent Switcher
https://addons.mozilla.org/ru/firefox/addon/59/
А они между собой не подерутся?
Подерутся, поэтому надо отключить маскировку в торбаттоне.
Найти опцию "Set user agent for Tor usage (crucial)" (в переводе: "Маскировать пользователя при использовании Tor (важно)"), отключить. И уже дальше решать, устраивает реальность или хочется еще чего-то при помощи других расширений. Ну и само собой помнить, что это выстрел себе в пятку.
а про выстрел в пятку можно уточнить? :)) какие угрозы несет использование этого плагина?
Думаю что мир как и все (да-да) человеки не идеальны. Вы когда-нибудь запутаетесь в проксях на выходе, юзер агентах, и посещаемых ресурсах. Вот тогда и будет деанон, или как минимум:
аааа ну если только это, это не проблемма. у меня стоит три бандла в разных папках в конфигах которых на выходе жестко прописан один конкретный прокси. это физически разные папки. единственное что их связывает – это одинаковый юзер агент. получается прописав в настройках каждого бандла свой юзер агент я запускаю просто бандл и не думаю что там писать. А вообще этот плагин получается дополнительно проблем по раскрытию не несет и корректно работает с тор бандлом? вот основной вопрос ) а то из за нестыковок плагинов которые думают что они просто в фаерфоксе запущены с тором я наслышан происходят всякие утечки и проблемы
Бранмауер не должен позволять выбранному пользователю ходить в обход ассоциированной с ним прокси. Для каждой группы ресурсов — свой пользователь :)
Пёс его знает. По умолчанию принято считать доверие к torbutton много большим оного по отношению к другим плагинам. Отход от умолчальной конфигурации — первый шаг к потенциальным проблемам, скрещивание разных плагинов в одном браузере с перекрывающимися фичами — второй шаг (это для случая, если вы досканально не представляете как они работают). По себе могу сказать, что torbutton глючен, но юзабелен, и полагаться на него как на последнюю милю я бы не стал.
А вот интересно бы узнать, как люди на практике поступают с умолчальными настройками torbutton? Предлагаю сделать такой опрос:
Изменяете ли Вы умолчальные настройки безопасности в torbutton?
1. Никогда не изменяю, чтобы не выделяться
2. Всегда усиливаю, чтобы уменьшить возможность деанонимизации
3. Ослабляю, чтобы работал нужный мне функционал сайта
4. ... (иные варианты)
Гости допущены к созданию официальных опросов на главной странице, если что.
Некоторые тесты[link1] для Torbutton.
Забавно. Утекает только разрешение экрана (JS включён) через тесты типа этого[link2] и этого[link3], но это не такая сенсация .... panopticlick уже выявлял подобные проблемы (но там было разрешение хоть и уникальное, но не реальное). Без JS не работает и это. Интересно, в свежем tb уже пофиксили или нет?
Нет, против подсечек оберток (xpcnativewrapper), не помогут торбаттоны, потому что проблема залегает даже глубже чем ошибки и недостатки в функционале самого браузера и его интерфейсов которые он может предоставить расширениям.
Дизайн веб вселенной делает возможным доступ к информации и без JS, ко многому из того к чему браузер был допущен в рамках своих законов. Размеры окон, экрана, информация о шрифтах[link4] вот далеко не полный список того что при помощи CSS3 "Media Queries" может выяснить сайт.
Щиорт побьери![link5]
Действительно бесовская технология: БЕЗ JS(!) – разрешение внутреннего окна браузера как на ладони. Причем разрешение меняется динамически, тут же, по мере растягивания окна. Первый раз с такой хренотой столкнулся. Какая наглость, я подам в суд!
Но в любом случае – только разрешение и получили, но более ничего! ;)
А вообще 22-30"-моники, простое решение – сделать размер окна браузера меньше 17"(1024x768) и серфи, пости на здоровье.
м-да. нет слов. мы под колпаком. а-ааа
Не совсем понял что они этим хотели сказать, но помечено, что якобы всё нормально.
Увы, разрешение действительно утекает без JS. Можно посоветовать почаще ресайзить окно во время браузинга :)
Демонстрация с размером экрана есть? Ведь от него уже ресайзом окна не спасёшься :(
Мне непонятно другое. Ну ладно мы, обыватели, не знали когда-то каких-то тонкостей работы firefox и надеялись на что-то, но почему сами разработчики torbutton никогда не говорили об этих проблемах, о том, что можно так всё обойти даже без JS? Я правильно понял, что новость их застала врасплох? Как это понимать? "Фича"-то не вчера поди появилась.
Под Tor нужно бы разработчикам сделать свой браузер с минимальным размеров внутреннего гавна и обязать (настоятельно официально рекомендануть) всех его юзать — может поможет.
Хотелось бы знать полный список ;)
Печенкой чую, только разрешение и шрифт – вот всё, чего смогли добиться.(и то со шрифтом – ну очень коряво, понты какие-то)
И как Вы себе это представляете?! O_o
Это – реально недостижимо! (по крайне мере без трояна в системе)
Не знаю что там думали разработчики торбаттона, но читать видимо надо было первоисточники: стандарт на эти запросы[link6].
Печёнку берегите :) Отчасти верно. Много с помощью mediaqueries не узнать и обещания "далеко не полного списка" есть ничем не мотивированный пессимизм. Однако device-width и device-height плюс color в наличии имеются. И если кто-то захочет выяснить параметры устройства на который выводит картинку ваш браузер, он такую попытку сделает.
Все эти queries опасны только потому, что существует конечное число вариантов которые доступны для перебора, что несколько сложней чем реализация через JS, но в отличии от раскрытия истории посещённых адресов такой трюк более гарантирован. Без троянов.
Проклятие! Эта страница меня просто убила. И че нам теперь делать? И кстати зачем наезжать на Torbutton? Человек выложился на максимале, сделал практически все что мог.
Во всем виноваты разработчики Тора – бездельники чертовы, дармоеды!! зря я им 60$ пожертвовал :)). О разработке своего браузера, уже не один год, только болтовня в говноблоге – "в планах..." А воз и ныне там. Да будь я силен в этом деле-давно бы сваял свой браузер :(
а меж тем mediaqueries уже в этом году какой скачок сделал. А что нас ждет дальше – html5\,suъrс,паршивый FF4.0 с новыми свистоперделками и окончательной деанонимизацией ?
чего только не придумают, чтобы поймать побольше пиратов, педофилов, террористов... и многих других нехороших товарищей )))
А вроде уже проходила статья, что разработчик(и) торбаттона, а конкретно сам Mike Perry поостыл и не очень хочет связываться с 4-ым лисом
Вполне возможно, что достала мужика эта канитель
Может это всё что они смогли сделать для создания своего браузера (писать в блогах тоже работа), за 60 зеленых рублей :) Жертвуйте ещё и чаще :)
Выше кто-то написал: Видимо, ff может знать размер экрана — типа максимальный размер окна, на который может расчитывать сайт. Размеров экрана действительно не много и их можно перебрать все, поглядеть можно через xrandr.
Браузер, который поддерживает большую часть существующих стандартов — очень большая и амбициозная задача. Браузер, который имеет поддержку минимума (html просмотрщик?) мало кому нужен. По уму под Tor нужен и свой браузер, и свой интернет (скрытые сервисы?), где большая часть сайтов не будет использовать опасные технологии на стороне http-сервера. Однако ж... чем уже интернет, тем выше деанонимизация из-за сужения области поиска — имеем вилку :)
Давайте будем честны: разработка новых стандартов поддерживается магнатами интернет-рынка, потому бюджет, растрачиваемый на разработку свистоперделок, на порядки выше, чем бюджет всех Tor-проектов.
Да ты не стесняйся, скажи им это лично, в лицо — авось образумятся, если успеешь ноги унести.
И следовательно... Точнее нет, какие ваши прогнозы на будущее Кэп ?
Недоступная анонимно часть интернета будет становиться всё более привлекательной, и всё больше людей будет менять свою анонимность на возможность использования высокобюджетных свистелок... В конце концов анонимными останутся только те, для кого высшая ценность и цель – анонимность сама по себе. Но таковые обществу не опасны, и поэтому оно смирится с существованием этих неуловимых Джо. :)
Не только свою. Если системы на основе таких "свистелок" будут становится всё привлекательнее (а на то они и высокобюджетные) то на них в основном и разрабатывать будут. Хоть анонимно уже не попользуешься, но для большинства разработчиков (особенно при антианонимной пропаганде, да и просто замалчивании этого вопроса в СМИ) даже и выбор стоять не будет.
ЗЫ
Вот сегодня (уже вчера) по первому каналу рассуждали о привлекательности оплаты за проезд через кредитные карты (дистанционно) и мобильные телефоны. О том, что при этом становятся известны перемещения – НИ СЛОВА! И наконец мне стало понятно, чего они так с частниками борются – у них такого считывателя с кредиток не поставить.
Некий аналог религиозной аскезы, когда люди ради обретения истины отказываются от удовольствий "мира сего", а "мир сей" считает их в лучшем случае тихопомешанными.
Это не выдрано из контекста? Само по себе открытое ПО даже на военной технике может свободно использоваться для доставки демократических ценностей на головы мирных граждан, прочего геноцида или для каких-угодно целей.
Если речь о GPL-подобных продуктах, может он требовал раскрыть исходный код всех модификаций, которые сделаны над этим ПО в закрытой системе? А возмущение неанонимностью — это уже отдельный вопрос.
Совсем уже off:
Только в Европе широко проводятся исследования по массовой обработке информации с сохранением приватности при помощи криптопротоколов (анонимные покупки, поездки, базы данных о гражданах — из которых невозможно извлечь информации, не имея некоего секрета, который есть только на руках у владельца карточки). Но технологии, ориентированные на сохранение приватности — очень сложные вещи даже в теории. Их внедрение и контроль над правильностью использования может быть реализован только на госуровне (например, как экологические стандарты) совместно с общественным контролем и подотчётностью. Потому что отдельным коммерсантам это не выгодно, а необходимость этого неочевидна ни для подавляющего большинства потребителей, ни даже для специалистов.
Кстати, технологии, нарушающие приватность, будут вторгаться и в дома. "Умные датчики" счёта электроэнергии, отправляющие сведения в электрокомпанию по сети уже сейчас могут давать данные, по статистической обработке которых можно выявлять паттерны активности/деятельности человека: количество жильцов, уборка, готовка, время сна, отсутствие/присутствие в доме (и даже выращивание конопли в домашних теплицах). Предполагается, что в ближайшем будущем тактовая частота и параметры чувствительности таких датчиков возрастут настолько, что можно будет снимать точные графики электропотребления в реальном времени. Это позволит осуществлять нечто вроде TEMPEST-атак, только по характеру потребления в сети. По таким датчикам можно различать работу отдельных приборов и даже какие программы смотрят на телевизорах (сопоставляя с базой известных образцов — для телеканалов, фильмов, анимационных заставок киностудий — в т.ч. "пиратских").
Если кому интересна сама работа[link7].
и проверять это, например, как в России: планово, раз в три года, заранее предупреждая о проверке.
Поэтому я на каждый сайт захожу только с отдельной копии сборки со своими настройками безопасности: Tor Browser YouTube, Tor Browser openPGP, Tor Browser FreeLanc, Tor Browser CP и т.д.
А не может ли утекать имя папки (путь к ней)?
Если есть уязвимость, утечь может всё, к чему юзер имеет в принципе доступ. Надеяться ли, что в браузере нет уязвимостей — это каждый сам для себя решает в зависимости от критичности деанона. Обсуждалось здесь[link8].
пипец, философы))) это ж надо, по всему прошлись! просто хотелось узнать как User Agent поменять в Tor Browser Bundle, а тут развели демагогию, прям «утопия и антиутопия современного мира») спасибо, повеселили)