id: Гость   вход   регистрация
текущее время 18:11 05/12/2019
Автор темы: Гость, тема открыта 01/10/2011 23:27 Печать
Категории: софт, анонимность, tor
создать
просмотр
ссылки

Tor Browser Bundle и пакетный Tor


Имеется хост под Debian, на котором установлен пакет Tor и имеются несколько прозрачно торифицированных юзеров.
Установил tor-browser-bundle, запускаю под торифицированным юзером – запускается от юзера vidalla, tor и firefox.
Т.е., как я понимаю, tor локальный запускается внутри tor'а системного, что замедляет соединение.
При этом, в рассылке уже не рекомендуют пользоваться iceweasel + tor, а настоятельно рекомендуют переходить на browser bundle.
Но хочется запускать бразуер под прозрачно торифицированным юзером. Что делать?!


 
На страницу: 1, ... , 3, 4, 5, 6, 7, ... , 16 След.
Комментарии
— unknown (11/11/2011 12:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
на некую подпись (signature), причем к моему ужасу оказалось, что она одинаковая под браузерами, открытых под разными локальными юзерами, и не меняется в зависимости от очистки кэша – это еще что за ужас?!

Вероятно, это просто хэш от собранных ими параметров. Если у всех пользователей TBB он будет одинаков при любых условиях, тогда это хорошо. Если это наоборот, мера отклонения от сферического среднего TBB, то тогда это плохо.
— Гость (11/11/2011 12:58)   <#>
Ну уж я не знаю, распаковал TBB под незаторенным юзером, предварительно удалив его прежнюю диру, запустил, все равно этот тест ругается:


TBB последней версии. Может, у них просто залочен тест под данные старой версии TBB?
— unknown (11/11/2011 13:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Или тест глючный, или TBB несовершенен и даёт утечку инфы для профилирования. Вполне вероятно, что всё сразу.
— Гость (11/11/2011 13:33)   <#>
unknown, я где-то смотрел, что ты используешь TBB американскую версию.
Интересно, может это связано с использованием мною версии для другого языка? В случае подтверждения этого предположения, получается, бага в TBB, ибо он, как я понимаю, должен давать одиковую инфу сайтам независимо от своей "язычности"?
— unknown (11/11/2011 13:38)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Если инфа разная — то это баг.
— Гость (11/11/2011 17:31)   <#>
Интересно, в американской версии подпись – та же, только тест говорит, что она правильная.
А вот что касается шрифта – то там
И в torcheck.xenobite.eu – то же. Похоже, что русская версия гадит кодировкой, не в полной мере этот вопрос решен.
Постить багу?
— unknown (11/11/2011 17:48)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
да
— Гость (11/11/2011 17:51)   <#>
Постить багу?
Оно?
— unknown (11/11/2011 17:59)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А, так его четыре года закрыть не могут? Тогда не надо постить. У них же там нет раздела "Юмор".
— Гость (11/11/2011 19:18)   <#>
unknown, Майк в своем блоге https://blog.torproject.org/bl.....-panic#comment-12619 рекомендовал (похоже тебе) обсудить вопрос пакетного торбраузера с разработчиком Дебиана?
Не пробывал с ним общаться?
— Гость (11/11/2011 20:42)   <#>
Борьба с профилированием и опасными всякими фичами это хорошо, но о функциональности тоже не надо забывать.
Ибо, например, многие необходимые сайте не желают работать без JS, и т.п.
Конечно, можно запускать браузер в вирт. машине, чтобы JS не мог "украсть" лишние данные, но, с другой стороны, теперь, судя по документы, приведенномму unknown, непонятно, что вообще JS может "красть". Я так понял, что разработчики Tor не исключают, что JS научился тому, что раньше умели только Java-апплеты?!
Кстати, это говорит в очередной раз в пользу системного Tor и прозрачного торифицирования.
Далее, следует отметить, что многие сайты вообще используют какие-то кривые JS и имеют такую ужасную функциональность, что не хотят работать с TBB или даже торифицированным стареньким FF (3-).
Причем это официальные правительственные сайты, которые приходится регулярно использовать в практической работе.
Например, речь идет о kad.arbitr.ru и my.arbitr.ru, которые написаны на каком-то самопальном CMS с использованием совершенно кривых JS (кстати, kremlin.ru и gov.ru в этом отношении не лучше, но там нет такого функционала и поэтому с ними таких проблем не возникает, по крайней мере пока).
Соответственно, периодически, по мере прикручивания к ним очередных фич, они перманентно перестают работать с заторенными браузерами.
Так, my.arbitr.ru совершенно не хочет корректно работать с TBB, с iceweasel с TB кое-как работает, и то несколько раз ломали, и после диких скандалов в переписке восстанавливали. Потому что iceweasel стабильный, а Aurora – нестабильная, бета- или даже альфа-версия, и они типа не намерены делать сайт вполне работоспособным с ней.
С другой стороны, это может быть проблемой веб-мастеров. Но согласитесь, одно дело – когда речь идет о сайте какой-то говнокомпании, услугами которой можно пользоваться или нет, а в данном случае – речь идет о правительственном органе, не обращаясь к которому, живя в этой стране, жить практически невозможно.
— SATtva (11/11/2011 20:51)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Я так понял, что разработчики Tor не исключают, что JS научился тому, что раньше умели только Java-апплеты?!

Нет. JS всегда мог собирать профилирующие сведения, просто до проекта Panopticlick никто не задумывался о том, насколько запущена ситуация, и что даже без доступа к IP-адресу можно уникально идентифицировать пользователя из миллионов других.

По этой же причине "тупо" установка браузера в виртуальную машину нисколько не исправит проблему, если пользователь начнёт навешивать на него все любимые расширения и настраивать их под свои вкусы.

Кстати, это говорит в очередной раз в пользу системного Tor и прозрачного торифицирования.

Вряд ли.
— Гость (11/11/2011 20:55)   <#>
Любители покопаться в настройках "about:config", хитрым образом навесить файрволлы и пр. явно не упоминаются. Но неявно следует, что они ССЗБ, причём не понимают, насколько сильными буратинами они себе являются.
Собственно, уже ответили выше. Так или иначе, файерволл — это одно, а настройки about:config — другое, и мешать их в одну кучу не следует. Про последних, как про потенциальную угрозу, я вполне согласен. Файерволл же лишь страхует утечки — определить его можно только в случае "у всех IP утёк, а у тех-то гиков — нет => они выделились". Да пошла она в жопу тогда такая анонимность! ;)

Интересно, очистка кэша браузера обычными средствами браузера (стереть всю историю) от них помогает?
Без специальных плагинов — нет. Как минимум, надо ещё делать rm -R ~/.macromedia/* для очистки флэш-куков. Поскольку поле сие — минное, я бы предложил не надеяться на такие вещи и решать проблему кардинально: каждый раз восстанавливать девственно чистый профиль и домашнюю директорию из бэкапа.

на некую подпись (signature), причем к моему ужасу оказалось, что она одинаковая под браузерами, открытых под разными локальными юзерами, и не меняется в зависимости от очистки кэша – это еще что за ужас?!
Вас не удивляет, что под разными юзерами будет показываться, что и там и тут — firefox в качестве браузера? :) С подписью — то же самое. Надо смотреть на то, что именно одинаковое под разными пользователями.

ругается на размер "browser window" (которое он определил без включенного JS!!!), причем рекомендует его поменять на другие параметры.
Человека, не являющегося постоянным читателем этого форума, видно издалека. Исправляйтесь: /comment43167.
— Гость (11/11/2011 22:44)   <#>
По ссылке:
Last, but definitely not least, the adversary can exploit either general browser vulnerabilities, plugin vulnerabilities, or OS vulnerabilities to install malware and surveillance software. An adversary with physical access can perform similar actions. Regrettably, this last attack capability is outside of our ability to defend against, but it is worth mentioning for completeness.
Т.е. и сами защищаться не будем, и другим не дадим. Защита тривиальна, хотя и не лежит в плоскости TBB (потому ею они и не должны напрямую заниматься — достаточно лишь предоставить средства для юзеров сделать это самим через виртуалки/системный Tor/разделение по юзерам и т.д.).
— unknown (12/11/2011 15:39)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

похоже :)
нет
На страницу: 1, ... , 3, 4, 5, 6, 7, ... , 16 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3