torbutton
Доброго времени суток!!!
Здесь я предлагаю Вам поделиться своими мыслями, знаниями про torbutton.
В данный момент последняя версия 1.2.3. Как она Вам? Она действительно работает "как надо"??? Какие настройки наиболее оптимальны?
torbutton отключает все расширения, а как насчет javaScript? По умолчанию он включен. Насколько безопасно это? Как информацию о системе и его владельце способен JS открыть? Что насчет ftp http://community.livejournal.com/ru_root/1942338.html ?
И еще, если программа дополнение к vidalia tor, которая работала на подобии torbutton, но по отношению ко ВСЕЙ системе? Т.е., весь трафик создаваемый системой и отдельными программами фильтровался бы, и шел исключительно через TOR? (было бы здорово и удобно).
Ссылки
[link1] https://www.pgpru.com/comment36233
[link2] https://www.pgpru.com/faq/anonimnostj#h41-13
[link3] https://www.pgpru.com/comment35429
[link4] https://www.pgpru.com/comment35137
[link5] http://archives.seul.org/or/talk/Aug-2008/msg00171.html
[link6] https://www.torproject.org/torbutton/faq.html
[link7] http://archives.seul.org/or/talk/Jan-2010/msg00051.html
[link8] http://archives.seul.org/or/talk/Jan-2010/threads.html#00051
[link9] http://s42.radikal.ru/i097/1001/06/99d8d757dd24.jpg
[link10] https://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebianubuntu
[link11] http://news.zdnet.co.uk/security/0,1000000189,39418119,00.htm
[link12] http://www.pgpru.com/novosti/2008/predskazuemyjjgschinebezopasnyekljuchivdebianubuntu
Torbutton – работает нормально.
Вместе с tb советую использовать Portable версии Firefox и адоны:
PrivacyPlus – удаление Flash куков
Eraser – удаление "критических данных"
NoScript – разрешение/запрет скриптов
RequestPolicy – блокировка межсайтовых скриптов
CookieSafe – разрешение/блокировка куков
UserAgentSwitcher – изменение UserAgent'а
RefControl – контроль ссылок с которых вы приходите.
Прописать в tb достаточно только сокс. Еще нужно следить за адонами, влияющими на соединения и их настройками (прокси, автообновление и т.д.)
Чтобы пустить весь трафик через Tor можно заблокировать фаерволом все лишнее, можно воспользоваться виртуальной машиной или проксификатором (freecap, sockschain и т.д.)
Вроде бы связка tb+js безопасна, но я бы сильно надеяться на неё не стал и зарезал бы fw'ом соединение не через Tor мануально. Воспользуйтесь поиском по форуму и FAQ.Вы тоже в анабиозе?[link1] Вы хотели сказать (телепатирую): Может русский сначала изучим, а потом про tb будем спрашивать? Нет такой программы, если коротко, но есть "программа", точнее, "способ настройки" для Linux[link2] и *BSD, которые позволяют сделать прозрачную торификацию всех приложений, за утечки же отвечает каждая программа отдельно, и для каждой из них надо в идеале писать аналог tb. Как альтернативный вариант обезличивания передаваемой технической информации – запуск отдельной ОС в виртуалке, или решение[link3] с внешним рутером[link4]. Остальные ваши вопросы либо неконструктивны, либо уже обсуждались.
Torbutton + NoScript — (полу) официальная позиция торпрожекта из обсуждений этого вопроса в рассылке может быть выражена примерно так "мы задолбались поддерживать совместимость TB и NS, часть javascript нужна для обновлений плагинов firefox (проверка хэш-сумм в подписях — для экономии плагины качаются по открытому каналу, только хэши по закрытому https, а JS нужен для сверки подписей), приводились примеры, когда оба эти плагина вместе снижали анонимность, выход один — или в крайнем случае отключить JS в самом брузере или молиться, что TB фильтрует все его опасные проявления".
Не используйте флэш. Если очень хочется — заведите отдельного изолированного юзера (в Unix-системах) для посещения несерьёзных сайтов, где потеря анонимности не так критична.
TB сам удаляет всё критическое, но может Eraser умеет что-то ещё?
Лучше настроить TB на удаление всех куков при выходе из браузера. И почаще его перезапускать при переходе на разные сайты. Злонамеренные Exit ноды сети Tor могут понасажать куков от имени поддельных dns-имён сайтов, поэтому разрешение cookie или JS по имени сайта — ненадёжно (если он не https).
Всем пользователям сети Tor рекомендуется использовать встроенную в TB подделку поля user-agent, чтобы быть одинаковыми по этому параметру.
итого: выключить js и запретить автообновления. Обновляться мануально, предварительно временно включая js в браузере. Может быть, он делает s/rm/shred/ для удаляемого по сравнению с tb? Tb, емнип, либо хранит в памяти всё типа Tor-куков (без записи на диск), либо шифрует(?) перед записью на диск (только вот чем и как шифрует я не понимаю). Или мне показалось, что шифрует...
Tb не шифрует (не её ума это дело), а пакует куки в jar-архив при переключении между режимами "Tor включен" и "Tor выключен". Это поведение регулируется в настройках.
Eraser вешает все удаление на одну кнопку, правда некоторые адоны ведут свою историю и добавляют её удаление только в пункт "Стереть недавнюю историю". Вообщем, пазиционируется, как быстрая очистка.
Если не сложно приведите пожалуйста пример конфликта Torbutton + NoScript.
Был этот конфликт (несколько я преувеличил насчёт снижения анонимности — это были чьи-то теории в рассылке), но починили, обсуждение в рассылке (не про сам конфликт): здесь[link5]. Роджер пишет, что NoScript использует только в тестовых целях (при условии возможности MITM со злонамеренных Exit-узлов пользы от NS почти никакой), а Карстен Нол там пишет, что он NS использует.
В Torproject FAQ[link6] тоже отмечено, что использовать можно, но пользы особой нет (просмотр видео, Flash и др. в обмен на некоторое уменьшение анонимности).
А недавно в рассылке Карстен Нол передумал и привёл этот теоретический аргумент[link7] в возможности возникновения уязвимости совместного использования. В этот же треде Роджер повторил[link8] свою ранее высказанную точку зрения.
Обновился. Итог- не работает сервер тор. В списке узлов себя не вижу..как поправить?
Интересно, а каким образом связаны torbutton и сервер Tor?
А разве они связаны ?
Я ( — Гость (26/01/2010 16:30) ) об этом спросил у предыдущего Гостя.
По поводу torbutton-1.2.4: после обновления он не работает по той причине, что завязан на polipo, а в UNIX-средах его нет. Что самое интересное, если выставить галку на "ручная настройка", то с полипо toggle-on не убирается, при этом само полипо как бы включено. Чтобы отключить работу через него, снимается галка с "ручная настройка", что делает toggle-буттон с полипо активным, выключается полипо, а потом снова выбирается "ручная настройка" (чтобы можно было указать, например, порты отличные от умолчальных). Конкретно баг состоит в том, что полипо должно быть отключено на unix-системах по умолчанию – раз, возможность её включения/выключения не должна зависеть от того, выбрана ли ручная настройка – два. Кому не лениво – можете настучать разработчикам :)
обновил Torbutton до версии 1.2.4 (ранее стояла 1.2.0) и теперь при загрузке любого файла лезет такое предупреждение
вот скриншот[link9]
что за паранойя блин? Какая еще внешняя прикладная программа? Я качаю браузером, помогите с советом
1) Там можно настроить параметры прокси вручную.
2) В Дебиан:
Стоит ли на него переходить с Privoxy?!
Как бы включено или включено? Я так понимаю, если галка не стоит на "использовать рекомендованные параметры", то выключено. Или у вас есть данные, что все же включено?! (есть какая-то бага)
Я так понимаю, что TB предупреждает, что это использование торрента может разрушить Вашу анонимность. Что, имхо, соответствует действительности, т.к. согласно документации к проекту Tor может торифицироваться только соединение с трекером, а не P2P-соединения между клиентами.
да нет же какой торрент? А ими не пользуюсь. внимательнее, на скрине скачка с ifolfer.ru и я качаю только браузером.
и в том то и дело что на любую загрузки с любого обменика вылезает эта шиза. Ее конечно можно отключит но все равно напрягает, мол демаскирует вас – вам крышка)). щас качал с рапиды (с вкл java) тоже самое перед загрузкой вылезло. но и с отключеной javo'й на других обменниках тоже самое В настройках все у меня зарублено заторено мышь не проскочит, но эта новая паранойя разрабов напрягает. Может лучше откатится назад до 1.2.0? А то уже почитал слишком уж много глюков с 1.2.4
Java или javascript? Это не одно и то же.
Как раз наоборот: если выбрана ручная настройка прокси, то галка для полипо становится неактивной, серой, но при этом видно, что оно в состоянии включено и ничего не работает, т.к. полипо нет. Если же выбрано "использовать рекомендованные параметры", то галка с полипо активная: её можно ивключать и выключать (по умолчанию включена).
P. S.: это у меня так, как у других уж не знаю. Tor не тянул за собой полипо как зависимость. У меня не Дебиан.
Скажите а если не использовать полипо, в чем будет отличия работы если выбрано?:
1) "Использовать рекомендованные параметры" и галка с полипо снята (все поля пустые, кроме SOCKS – 127.0.0.1:9050)
2) "Установить параметры прокси вручную" галка на полипо неактивная-серая (HTTP – 127.0.0.1:8118, SSL – 127.0.0.1:8118, SOCKS – 127.0.0.1:9050)
3) "Установить параметры прокси вручную" галка на полипо отсутствует (все поля пустые, кроме SOCKS – 127.0.0.1:9050)
заранее спасибо за ответ
В меру моего понимания:
1 и 3 – тождественны ("т.к. ручная установка" относится только к настройкам сетевых соединений и все они, вроде как, тут же и указаны). 2 отличается от них тем, что http и https трафик будет пропускаться ещё и через privoxy перед отправкой в Tor. privoxy режет банеры и, возможно(?), какие-то ещё нежелательные элементы для анонимности, т.е. обычно её рекомендуют использовать.
Вот многие форумчане, здесь агитируют за Privoxy, как основного борца с банерами и прочей нечистью. Но убойная смесь: отключение java и javascript + расширениние Adblock Plus ни чуть не уступают Privoxy! Кстати в Privoxy тоже нужно фильтры добавлять, так что по поводу "резни" тут он, ни чем не лучше "детища от Паланта", если не сказать хуже.
Polipo – это вообще ненужный присосавшийся "полип" )) и на кой вообще с ним связались. Имхо для спокойной, стабильной работы нужно 4 вещи: FF2.0+Tor+Torbutton+Vidalia, хотя в принципе и без последней можно обойтись. Ну и самое главное голова на плечах ))
Там, говорят, много дыр, и эта версия уже давно не поддерживается.
Прозреваю дебианоидов в треде :)
В Debian версии программ в стабильный релиз попадают заведомо устаревшими и принципиально не обновляются (за редкими случаями). Вместо обновлений в стабильном релизе только бэкпортят секьюрити-фиксы с существующих новых версий или придумывают свои патчи ( иногда весьма неудачно[link10] ).
Почти всё в таком состоянии успешно удаётся поддерживать (это я не про OpenSSL :) ).
Единственное — программы для работы с сетями, где быстро меняется протокол — типа Tor, которые вообще не в состоянии пропатчить и в самом дистре они подолгу лежат с багами, поэтому Tor нужно брать с депозиториев разрабов torproject.org, оттуда-же и Torbutton.
А FF в Debian вообще свой: Iceweasel — из-за конфликта с разработчиками фокса.
Не скромничайте, unknown! Даже OpenSSL в "таком" состоянии был успешно продержан втечение длительного времени (удалось продержать). Года два, кажись, продержалось...
[
Так вроде бы в ленни уже давно Iceweals 3.0.6, не самый новый конечно, но и не двойка.
[
0.9.8g-15+lenny6 – слишком древний и ненадежный? А что лучше поставить и откуда?
Вывод неверный, просто фраза получилась смешная из-за двусмысленности и если не понимать её контекст в свете событий некоторой давности вокруг Debian-OpenSSL.
Нынешний OpenSSL и большинство пакетов лучше не трогать и самому бэкпортингом новых версий не увлекаться. Если внезапно всплывёт какой очередной шухер, то дистро
клепателистроители Debian всё сразу сами обновят с очередным мировым шоу-скандалом.http://news.zdnet.co.uk/securi.....0189,39418119,00.htm[link11] – это вот этот шухер чтоли?
Да, вот этот[link12].