— Гость (18/01/2010 21:18)   
Torbutton – работает нормально.

Вместе с tb советую использовать Portable версии Firefox и адоны:
PrivacyPlus – удаление Flash куков
Eraser – удаление "критических данных"
NoScript – разрешение/запрет скриптов
RequestPolicy – блокировка межсайтовых скриптов
CookieSafe – разрешение/блокировка куков
UserAgentSwitcher – изменение UserAgent'а
RefControl – контроль ссылок с которых вы приходите.

Прописать в tb достаточно только сокс. Еще нужно следить за адонами, влияющими на соединения и их настройками (прокси, автообновление и т.д.)

Чтобы пустить весь трафик через Tor можно заблокировать фаерволом все лишнее, можно воспользоваться виртуальной машиной или проксификатором (freecap, sockschain и т.д.)

— Гость (18/01/2010 21:35)   

torbutton отключает все расширения, а как насчет javaScript?

Вроде бы связка tb+js безопасна, но я бы сильно надеяться на неё не стал и зарезал бы fw'ом соединение не через Tor мануально.

Как информацию о системе и его владельце способен JS открыть?

Воспользуйтесь поиском по форуму и FAQ.

Что насчет ftp

Вы тоже в анабиозе?^[link1]

И еще, если программа дополнение к vidalia tor, которая работала на подобии torbutton, но по отношению ко ВСЕЙ системе?

Вы хотели сказать (телепатирую):

И еще, есть ли программа-дополнение к vidalia tor, которая бы работала наподобие torbutton, но по отношению ко ВСЕЙ системе?

Может русский сначала изучим, а потом про tb будем спрашивать? Нет такой программы, если коротко, но есть "программа", точнее, "способ настройки" для Linux^[link2] и *BSD, которые позволяют сделать прозрачную торификацию всех приложений, за утечки же отвечает каждая программа отдельно, и для каждой из них надо в идеале писать аналог tb. Как альтернативный вариант обезличивания передаваемой технической информации – запуск отдельной ОС в виртуалке, или решение^[link3] с внешним рутером^[link4]. Остальные ваши вопросы либо неконструктивны, либо уже обсуждались.

— unknown (18/01/2010 21:57)   
Torbutton + NoScript — (полу) официальная позиция торпрожекта из обсуждений этого вопроса в рассылке может быть выражена примерно так "мы задолбались поддерживать совместимость TB и NS, часть javascript нужна для обновлений плагинов firefox (проверка хэш-сумм в подписях — для экономии плагины качаются по открытому каналу, только хэши по закрытому https, а JS нужен для сверки подписей), приводились примеры, когда оба эти плагина вместе снижали анонимность, выход один — или в крайнем случае отключить JS в самом брузере или молиться, что TB фильтрует все его опасные проявления".
Не используйте флэш. Если очень хочется — заведите отдельного изолированного юзера (в Unix-системах) для посещения несерьёзных сайтов, где потеря анонимности не так критична.
TB сам удаляет всё критическое, но может Eraser умеет что-то ещё?
Лучше настроить TB на удаление всех куков при выходе из браузера. И почаще его перезапускать при переходе на разные сайты. Злонамеренные Exit ноды сети Tor могут понасажать куков от имени поддельных dns-имён сайтов, поэтому разрешение cookie или JS по имени сайта — ненадёжно (если он не https).
Всем пользователям сети Tor рекомендуется использовать встроенную в TB подделку поля user-agent, чтобы быть одинаковыми по этому параметру.

— Гость (18/01/2010 22:26)   

а JS нужен для сверки подписей

итого: выключить js и запретить автообновления. Обновляться мануально, предварительно временно включая js в браузере.

может Eraser умеет что-то ещё?

Может быть, он делает s/rm/shred/ для удаляемого по сравнению с tb? Tb, емнип, либо хранит в памяти всё типа Tor-куков (без записи на диск), либо шифрует(?) перед записью на диск (только вот чем и как шифрует я не понимаю). Или мне показалось, что шифрует...

— SATtva (18/01/2010 22:30)   
Tb не шифрует (не её ума это дело), а пакует куки в jar-архив при переключении между режимами "Tor включен" и "Tor выключен". Это поведение регулируется в настройках.

— Гость (18/01/2010 23:16)   
Eraser вешает все удаление на одну кнопку, правда некоторые адоны ведут свою историю и добавляют её удаление только в пункт "Стереть недавнюю историю". Вообщем, пазиционируется, как быстрая очистка.

— Гость (19/01/2010 13:27)   
Если не сложно приведите пожалуйста пример конфликта Torbutton + NoScript.

— unknown (19/01/2010 15:04, исправлен 19/01/2010 15:16)   

Был этот конфликт (несколько я преувеличил насчёт снижения анонимности — это были чьи-то теории в рассылке), но починили, обсуждение в рассылке (не про сам конфликт): здесь^[link5]. Роджер пишет, что NoScript использует только в тестовых целях (при условии возможности MITM со злонамеренных Exit-узлов пользы от NS почти никакой), а Карстен Нол там пишет, что он NS использует.

В Torproject FAQ^[link6] тоже отмечено, что использовать можно, но пользы особой нет (просмотр видео, Flash и др. в обмен на некоторое уменьшение анонимности).

А недавно в рассылке Карстен Нол передумал и привёл этот теоретический аргумент^[link7] в возможности возникновения уязвимости совместного использования. В этот же треде Роджер повторил^[link8] свою ранее высказанную точку зрения.

— Гость (26/01/2010 15:14)   
Обновился. Итог- не работает сервер тор. В списке узлов себя не вижу..как поправить?

— Гость (26/01/2010 16:30)   
Интересно, а каким образом связаны torbutton и сервер Tor?

— Гость (26/01/2010 18:43)   
А разве они связаны ?

— Гость (26/01/2010 18:52)   
Я ( — Гость (26/01/2010 16:30) ) об этом спросил у предыдущего Гостя.

— Гость (29/01/2010 21:20)   
По поводу torbutton-1.2.4: после обновления он не работает по той причине, что завязан на polipo, а в UNIX-средах его нет. Что самое интересное, если выставить галку на "ручная настройка", то с полипо toggle-on не убирается, при этом само полипо как бы включено. Чтобы отключить работу через него, снимается галка с "ручная настройка", что делает toggle-буттон с полипо активным, выключается полипо, а потом снова выбирается "ручная настройка" (чтобы можно было указать, например, порты отличные от умолчальных). Конкретно баг состоит в том, что полипо должно быть отключено на unix-системах по умолчанию – раз, возможность её включения/выключения не должна зависеть от того, выбрана ли ручная настройка – два. Кому не лениво – можете настучать разработчикам :)

— Гость (30/01/2010 19:51)   
обновил Torbutton до версии 1.2.4 (ранее стояла 1.2.0) и теперь при загрузке любого файла лезет такое предупреждение
вот скриншот^[link9]
что за паранойя блин? Какая еще внешняя прикладная программа? Я качаю браузером, помогите с советом

— Гость (30/01/2010 20:24)   

По поводу torbutton-1.2.4: после обновления он не работает по той причине, что завязан на polipo, а в UNIX-средах его нет.

1) Там можно настроить параметры прокси вручную.
2) В Дебиан:
:~$ aptitude show polipo Пакет: polipo Состояние: не установлен Версия: 1.0.4-1 Приоритет: необязательный Раздел: web Сопровождающий: Denis V. Sirotkin <fechiny@gmail.com> Размер в распакованном виде: 705k Зависимости: libc6 (>= 2.7-1) Описание: a small, caching web proxy Polipo is a caching web proxy (a web cache) designed to be used by one person or a small group of people. It is similar in spirit to WWWOFFLE, but the implementation techniques are more like the ones ones used by Squid. Polipo has some features that are unique among currently available proxies: o Polipo will use HTTP/1.1 pipelining if it believes that the remote server supports it, whether the incoming requests are pipelined or come in simultaneously on multiple connections (this is more than the simple usage of persistent connections, which is done by e.g. Squid); o Polipo will cache the initial segment of an instance if the download has been interrupted, and, if necessary, complete it later using Range requests; o Polipo will upgrade client requests to HTTP/1.1 even if they come in as HTTP/1.0, and up- or downgrade server replies to the client's capabilities (this may involve conversion to or from the HTTP/1.1 chunked encoding); o Polipo has fairly complete support for IPv6 (except for scoped (link-local) addresses). Optionally, Polipo can use a technique known as Poor Man's Multiplexing to reduce latency. Сайт: http://www.pps.jussieu.fr/~jch/software/polipo/
Стоит ли на него переходить с Privoxy?!

Что самое интересное, если выставить галку на "ручная настройка", то с полипо toggle-on не убирается, при этом само полипо как бы включено.

Как бы включено или включено? Я так понимаю, если галка не стоит на "использовать рекомендованные параметры", то выключено. Или у вас есть данные, что все же включено?! (есть какая-то бага)

— Гость (30/01/2010 20:26)   

обновил Torbutton до версии 1.2.4 (ранее стояла 1.2.0) и теперь при загрузке любого файла лезет такое предупреждение

Я так понимаю, что TB предупреждает, что это использование торрента может разрушить Вашу анонимность. Что, имхо, соответствует действительности, т.к. согласно документации к проекту Tor может торифицироваться только соединение с трекером, а не P2P-соединения между клиентами.

— Гость (30/01/2010 20:59)   

Я так понимаю, что TB предупреждает, что это использование торрента может разрушить Вашу анонимность. Что, имхо, соответствует действительности, т.к. согласно документации к проекту Tor может торифицироваться только соединение с трекером, а не P2P-соединения между клиентами.

да нет же какой торрент? А ими не пользуюсь. внимательнее, на скрине скачка с ifolfer.ru и я качаю только браузером.
и в том то и дело что на любую загрузки с любого обменика вылезает эта шиза. Ее конечно можно отключит но все равно напрягает, мол демаскирует вас – вам крышка)). щас качал с рапиды (с вкл java) тоже самое перед загрузкой вылезло. но и с отключеной javo'й на других обменниках тоже самое В настройках все у меня зарублено заторено мышь не проскочит, но эта новая паранойя разрабов напрягает. Может лучше откатится назад до 1.2.0? А то уже почитал слишком уж много глюков с 1.2.4

— SATtva (30/01/2010 21:17)   
Java или javascript? Это не одно и то же.

— Гость (31/01/2010 04:10)   

Как бы включено или включено? Я так понимаю, если галка не стоит на "использовать рекомендованные параметры", то выключено. Или у вас есть данные, что все же включено?! (есть какая-то бага)

Как раз наоборот: если выбрана ручная настройка прокси, то галка для полипо становится неактивной, серой, но при этом видно, что оно в состоянии включено и ничего не работает, т.к. полипо нет. Если же выбрано "использовать рекомендованные параметры", то галка с полипо активная: её можно ивключать и выключать (по умолчанию включена).
P. S.: это у меня так, как у других уж не знаю. Tor не тянул за собой полипо как зависимость. У меня не Дебиан.

— Гость (31/01/2010 08:47)   

Как раз наоборот: если выбрана ручная настройка прокси, то галка для полипо становится неактивной, серой, но при этом видно, что оно в состоянии включено и ничего не работает, т.к. полипо нет. Если же выбрано "использовать рекомендованные параметры", то галка с полипо активная: её можно ивключать и выключать (по умолчанию включена).

Скажите а если не использовать полипо, в чем будет отличия работы если выбрано?:
1) "Использовать рекомендованные параметры" и галка с полипо снята (все поля пустые, кроме SOCKS – 127.0.0.1:9050)
2) "Установить параметры прокси вручную" галка на полипо неактивная-серая (HTTP – 127.0.0.1:8118, SSL – 127.0.0.1:8118, SOCKS – 127.0.0.1:9050)
3) "Установить параметры прокси вручную" галка на полипо отсутствует (все поля пустые, кроме SOCKS – 127.0.0.1:9050)

заранее спасибо за ответ

— Гость (31/01/2010 09:15)   
В меру моего понимания:
1 и 3 – тождественны ("т.к. ручная установка" относится только к настройкам сетевых соединений и все они, вроде как, тут же и указаны). 2 отличается от них тем, что http и https трафик будет пропускаться ещё и через privoxy перед отправкой в Tor. privoxy режет банеры и, возможно(?), какие-то ещё нежелательные элементы для анонимности, т.е. обычно её рекомендуют использовать.

— Гость (31/01/2010 10:36)   
Вот многие форумчане, здесь агитируют за Privoxy, как основного борца с банерами и прочей нечистью. Но убойная смесь: отключение java и javascript + расширениние Adblock Plus ни чуть не уступают Privoxy! Кстати в Privoxy тоже нужно фильтры добавлять, так что по поводу "резни" тут он, ни чем не лучше "детища от Паланта", если не сказать хуже.
Polipo – это вообще ненужный присосавшийся "полип" )) и на кой вообще с ним связались. Имхо для спокойной, стабильной работы нужно 4 вещи: FF2.0+Tor+Torbutton+Vidalia, хотя в принципе и без последней можно обойтись. Ну и самое главное голова на плечах ))

— Гость (31/01/2010 12:10)   

FF2.0

Там, говорят, много дыр, и эта версия уже давно не поддерживается.

— unknown (31/01/2010 20:09)   


Прозреваю дебианоидов в треде :)

В Debian версии программ в стабильный релиз попадают заведомо устаревшими и принципиально не обновляются (за редкими случаями). Вместо обновлений в стабильном релизе только бэкпортят секьюрити-фиксы с существующих новых версий или придумывают свои патчи ( иногда весьма неудачно^[link10] ).

Почти всё в таком состоянии успешно удаётся поддерживать (это я не про OpenSSL :) ).

Единственное — программы для работы с сетями, где быстро меняется протокол — типа Tor, которые вообще не в состоянии пропатчить и в самом дистре они подолгу лежат с багами, поэтому Tor нужно брать с депозиториев разрабов torproject.org, оттуда-же и Torbutton.

А FF в Debian вообще свой: Iceweasel — из-за конфликта с разработчиками фокса.

— Гость (01/02/2010 01:11)   

Почти всё в таком состоянии успешно удаётся поддерживать (это я не про OpenSSL :) )

Не скромничайте, unknown! Даже OpenSSL в "таком" состоянии был успешно продержан втечение длительного времени (удалось продержать). Года два, кажись, продержалось...

— Гость (01/02/2010 11:39)   
[

Прозреваю дебианоидов в треде :)

Так вроде бы в ленни уже давно Iceweals 3.0.6, не самый новый конечно, но и не двойка.

[

Почти всё в таком состоянии успешно удаётся поддерживать (это я не про OpenSSL :)

0.9.8g-15+lenny6 – слишком древний и ненадежный? А что лучше поставить и откуда?

— unknown (01/02/2010 12:11, исправлен 01/02/2010 12:17)   

Вывод неверный, просто фраза получилась смешная из-за двусмысленности и если не понимать её контекст в свете событий некоторой давности вокруг Debian-OpenSSL.

Нынешний OpenSSL и большинство пакетов лучше не трогать и самому бэкпортингом новых версий не увлекаться. Если внезапно всплывёт какой очередной шухер, то дистроклепателистроители Debian всё сразу сами обновят с очередным мировым шоу-скандалом.

— Гость (02/02/2010 03:39)   
http://news.zdnet.co.uk/securi.....0189,39418119,00.htm^[link11] – это вот этот шухер чтоли?

— Гость (02/02/2010 08:44)   
Да, вот этот^[link12].