Всё о TBB (Tor Browser Bundle)
Извиняюсь, но за 10 минут перебора тем в форуме "Анонимность" не нашел всеобъемлющей темы о TBB (Tor Browser Bundle), только разрозненные.
Поэтому предлагаю обсуждать вопросы и проблемы, представляющие интерес для многих, в этой ветке, будет удобней.
комментариев: 9796 документов: 488 редакций: 5664
https://check.torproject.org/RecommendedTBBVersions
"3.5.2.1-Linux", наравне с "3.5.2-Linux", но ни в каталоге https://www.torproject.org/dist/torbrowser/
ни по прямой ссылке на скачивание с сайта, ни в ченджлоге, ни в торблоге никакой версии "3.5.2.1" пока нет. Может и правда, они экстренно удалённо обновили какой-то плагин через апдейты без уведомления пользователей, как уже бывало ранее?
Хотя, наличие такого механизма несколько пугает — стоит только поломать сайт. Одно дело оффлайновые подписи, которые можно проверить, а другое дело — полагаться только на SSL.
Появилась. Ничего серьезного.
Обновляются сейчас всего 2 расширения, через стандартный механизм обновлений для Firefox. Через определенное время браузер пингует сервера в поисках обновлений для NoScript и HTTPS-Везде, и ставит всё что содержит более новую версию. Секурность апдейта определяет разработчик расширения, браузеру всё едино.
Для HTTPS-Везде используют ключ разработчика при апдейте. Для NoScript н-и-ч-е-го, только пришпиленный сертификат для сервера с расширениями. MitM с использованием подконтрольного CA не пройдет. Но если атакующий захочет устроить эффектную массовую панику, то NoScript очень хорошая цель. С другой стороны, а какой толк от такой атаки для NSA? Цель через тор не видна, придётся раздавать малварь всем юзерам тора или никому.
Вы так говорите, как будто за весь предыдущий год pgpru.com не читали ни разу. Гость (15/02/2014 18:52) об этом предупреждал ровно пол года назад. Где было ваше негодование в то время?
Всё это не новость.
[
"3.5.2-Linux",
"3.5.2-MacOS",
"3.5.2-Windows",
"3.5.2.1-Linux",
"3.5.2.1-MacOS",
"3.5.2.1-Windows"
]
Обновления для 3.5.2 чекер не должен требовать. У меня не требует.
Теоретически JS должен быть безопасен сам по себе, плюс в TBB ограничивают использование JS для снятия "отпечатков" (размер экрана, шрифты и прочее). На практике это работает до тех пока не найдена уязвимость в браузере (а их там тонны по определению, даже если никто ещё ничего не нашел), потом JS становится оружием которое будут использовать при эксплуатации уязвимости. Впрочем, существуют уязвимости которые можно эксплуатировать и без JS.
Для регистрации нужен сотовый. Найти через симку и телефон, будет проще (дешевле) чем использование на серверах VK 0-day эксплоита для вашего браузера. Даже если покупаете специальный одноразовый телефон и симку с рук или через сервис по приему смс, любые покупки оставляют след.
При прочих равных, лучше иметь JS отключенным, чем включенным. Или включать его только тогда, когда это действительно необходимо (большинство сайтов прекрасно работает с отключенным JS).
Не трогайте NoScript вообще. Чтобы отключить JS, воспользуйтесь этим способом.
Есть несколько простых правил, доступных технически неграмотным пользователям, которые позволяют существенно уменьшить риск, и которым неплохо бы следовать:
Если следовать этим простым шагам, то даже если вас взломают, то получат доступ к вашим данным только за короткий промежуток времени, а потом зловред будет затёрт чистой копией из бэкапа. Исключение — уязвимости с повышением привелений (local root).
Часть функциональности шагов 1-5 в Linux/UNIX делается примерно так. Этот сильно устаревший текст тоже может оказаться полезен, чтобы получить общее представление о рисках и угрозах.
Разница между снапшотами — один день. Посмотрел, что поменялось:
changed — не обязательно изменение содержимого, это может означать смену только метаданных файла.
причем как бы, если при помощи noscript можно частично включать, то при помощи вкл/выкл js можно либо все включить либо все выключить. чем это лучше?
В версии 2 было так же. Залёная луковица слева в браузере → new identity → все вкладки закрываются, открывается новое окно.
Да.
Тем, что надёжней. Я внутренним настройкам браузера доверяю больше, чем сторонним расширениям типа NoScript. Частичное включение/выключение — всё равно полумера в качестве защиты, IMHO.
для таких страниц нужна отдельная копия тбб
так проблема то в том, что таких ресурсов большенство.