Можно ли проследить с помощью tcpdump/wireshark/iptraf, "крадет" ли J, JS реальный айпи etc.?!
Известно, что существенную угрозу анонимности при использовании Tor представляют J, JS, при этом если J требуется крайне редко, то без JS многие сайты работают некорректно.
В частности, большинство инет-банкингов требуют JS.
Можно ли определить с помощью сабж-утилит, "крадут" ли J, JS в данном конкретном случае ip-адрес?
Учитывая, что обычно (и слава богу) названные сайты работают по HTTPS, то довольно затруднительно. Если только будете сами свой браузер MITM'ить, тогда да, вполне.
То есть, они "крадут" его не путем передачи пакета с реального адреса (что видно по заголовкам пакета), а определяют его и передают в теле пакета, который при работе по https зашифрован?
J, JS или даже Flash могут передать какие-либо данные, предварительно зашифровав их или хотя бы применив обфускацию.
Второй вариант чаще ближе к эксплойту против браузера, поэтому несколько менее вероятен.
1. Как-то мне попадалось обсуждение, что J способен украсть и внешний, и внутренний ip, и что JS не способен украть внешний ip, а только внутренний (если машина за NATом). Это правда или это частный случай? И если правда, то по каким причинам нельзя написать JS, чтобы он крал внешний адрес? А что касается флеша по этому вопросу?.
2. unknown, но если пакет передается с реального адреса машины, то почему я не увижу его в заголовках пакета в tcpdump и т.п.?
JS выполняется в песочнице браузера. Предполагается, что при отсутствии ошибок в её реализации (смелое допущение) исполняемый код не может получить больше информации, чем способен дать браузер.
Флэш исполняется в собственной песочнице с более широкими возможностями (и, возможно, дырами).
Он проходит сетевой интерфейс уже будучи зашифрованным и инкапсулированным в https-трафик. Потенциально его может отловить лишь сам браузер перед отправкой.