Совместимо ли с анонимностью использование Tor и JavaScript?
Как известно, ни одна платежная система, ни один банк, ни один мало-мальский сайт с использованием финансовых операций, не захочет работать и общаться с Вами без использования JavaScript-ов. Без них никак. Я использую Tor для посещения таких систем как Киви-кошелек, Яндекс.Деньги, Монета.Ру. Могут ли они деононимизировать пользователя, если используются Java-Script? Как вообще их проверить?
Да, неплохой вопрос. Sattva, что думаете?
Они за использование тора не блокируют? Киви к телефону привязан, какая тут анонимность?
Киви к телефону привязан, какая тут анонимность?
Ну, это проще простого, купил сим-карту на улице возле метро, телефон также б/у на горбушке. И никаких звонков и смс с этого телефона не делать, юзать только для Киви. А вот джаваскрипты, тут все туманно и неясно...
Тут наоборот надо спрашивать. Совместимо ли выключение javascript с использованием Tor? Потому что из коробки он включен и большинство пользуется им. Так что при выключении вы начинаете светиться.
Но javascript + постоянно пополняющиеся функции скрипта + css новые = неизвестность. Никогда нельзя быть уверенным, что кто-то не нашел хак позволяющий сделать скриптом бяку.
Если коротко, то на большинстве сайтов выключать скрипты нельзя. Выключить можно только, если вы достаточно хорошо знакомы с устройством сайта и знаете, как он работает и что делает, чтобы быть уверенными, что выключение невредно.
Про звонки анонимно. Тогда и оплачивать придется не из дома, потому что все пеленгуется. А к Tor можно в конец еще один прокси добавить, не из Tor сети.
Приходиться надеяться, что тот набор допустимых функций JS, который оставили и пофиксили разработчики TorBrowser, является безопасным. Полное или даже выборочное (но не такое как у всех) постоянное его отключение делает профиль трафика пользователя уникальным как на исходящих узлах, так и на посещаемых сайтах.
Услуги мобильных операторов, если очень хочется, можно оплачивать биткоинами, не напрямую естественно.
совместимо, в пределах 00.0%, если вы уверены на 00.0% в операционной, в браузере, программах, процессоре, клавитуре, мышке. Кое-кто использует виртуалки, чистят временные файлы, реестр в виндоуз, блокируют весь трафик и порты кроме Тор, шифрование и уничтожениеданных.
Тогда JScript совместим на 00.0%
Как-то так. (0=?)
Вопрос на самом деле не "что передается", а "что связано с вами".
Однако, как написано в меню NoScript: Forbid scripts globaly (advised)
A поставляется TB с настройкой Allow Scripts Globally (dangerous). Вот и "думайте сами, решайте сами, менять или не менять...
При грамотной настройке (виртуалки, firewall, надёжная ОС) можно не бояться запускать практически любой код и любое приложение (в краткосрочной перспективе), но те, кто это могут правильно настроить, подобные вопросы, опять же, задавать не будут.
Анонимность — управление рисками. Лично я оцениваю вероятность того, что найдётся очередная тайно эксплуатируемая дыра в JS куда большей, чем вероятность сколь-нибудь надёжного различения из-за выключенного JS в общем потоке пользователей. В силу этих причин в критически важных для анонимности делах предпочитаю отключать JS полностью, если только нет превентивных контрмер защиты (firewall, виртуалки и т.д.).
И на виртуалку бывает проруха[link1]
После слов «веб-сервер» не читал. Это как если бы дыра в GNOME преподносилась как дыра в ядре Linux. Все и так знают, что средства автоматизации для секретарш до добра не доводят: только командная строка, только хардкор,
только Xen.А если все и так знают, зачем же вы это тут написали?
Чтобы побудить вас постить интересные ссылки, мысли и обогощать местную сокровищницу знаний, а не запутывать некомпетентных новичков подобными постами и ссылками. Или вы пытаетесь закосить под последних?
Некомпетентных новичков как раз запутывают посты о виртуалке как панацее. А конкретный пример содействует "грамотной настройке" гораздо эффективнее, чем абстрактный призыв к ней же.
Попытки объяснить вещи в терминах конкретного примера[link2] были, но успеха не потерпели (слишком индивидуально получается, в дефолтном описании мало кому пододйдёт и т.д.; всё равно нужна свобода настройки под себя, свои задачи, свои цели, свои модели угрозы, но чтобы уметь из кусочков собрать систему под себя, надо уже иметь квалификацию как пререквизит, т.е. задача свелась к исходной: без бутстрепа никуда).
А не опасно ли использовать скрипты во время юзанья платежных систем? Например, "Яндекс.Деньги"? Что всемогущий Российско-ФСБэшный Яндекс может спалить реальный АйПи или нет?
Похоже, этот вопрос пора выносить в FAQ.
Яндекс.Деньги недавно перекрыли возможность заходить через TOR.
Сбербанк. Нам важно, что вам важно.
Для нас важна анонимность. Так что СБ идёт, как минимум на***, за ложь в рекламном слогане.
Надо будет попробовать зайти через ТОР. Бывает, что очень много экзитов перебанены, а какого-то нет в бане. Это применительно не к ЯД я написал, а к др. порталам, где ТОР банят. По крайней мере можно попытаться. Если не получиться, тогда, как один из возможных вариантов, пользоваться VPN+Socks, если не хочется передавать избыточную инфу о себе.
Сокс лучше свой. ВПН в идеале тоже.
Сбербанк не выдавал "экстремисту" пособие по безработице[link3].
Яндекс-деньги – это вообще отдельная тема о жуликах в инете. стоит погуглить и становится понятным их методы работы. они односторонне имеют правл заблокировать аккаунт, в случае если посчитают вас "неблагонадежным", например регистрация и посещение ресурса с разных IP или рег данные не понравились по национальному признаку (утрирую), молчу уж про Тор. алгоритм занесения вас в "черный" список не ясен, но зато понятно что вам дальше делать на выбор:
1. подтвердить свою личность, личным посещением их московского офиса. забавно, если у вас в кошельке рублей 500, а поездка в мск 10 т.р.
2. завести карточку в одном из партнерских банков, что будет являться подтверждением вашей личности, но так же не бесплатно и превышает порог 1000 руб. (в н.вр может и больше).
3. нотариально заверить паспорт и переслать в мск офис. что тоже не бесплатное развлечение.
вообщем по моим подсчетам, все эти танцы по минимуму обойдутся в 1500 рублей.
а самое смешное или горькое (на выбор вам), что после подтверждения, эта банда может повторно блокирнуть (!) со всеми вытекающими обстоятельствами. и никакие аргументы о том, что вы только предоставили подтверждение вашей личности, не прокатят (!).
Лучше Tor + Socks, в идеале VPN + Tor + Socks. VPN – свой, Socks – не свой (иначе в Торе смысла нет). Вместо сокса можно и http-прокси, это не принципиально.
Это у всех электронных платежных систем наблюдается. Взять хоть вебмани из гондураса, там не важно надежны вы или не очень, достаточно написать что-то не хорошее о них и прощай кошелек. Погуглите, как вебмани мастерхоста "наказал". Или вспомнить paypal и wikileaks.
вот она золотая жила. просто нужно создать платежную систему и денежки польются рекой. какой там реальный сектор экономики, когда в стране по сей день МММ в разных интерпретациях существует. опять в политику скатился ))))) пардоньте.
Сразу видно человека с государственным мышлением, о народе небось заботитесь. Как там он. Отсюда вывод – запретить. Платёжная система должна быть одна – государственная, для блага населения. Кому как не государству позаботиться о людишках. Конкурентов надо устранять.