1.2, User294 (ok), 20:38, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
> над двумя из семи серверов директорий
Централизованные сервера директорий - зло по определению. Слишком лакомые мишени.
Более того - стоит понимать что оператор TOR Exit Node может видеть все что вы шлете. И поэтому если он решит заграбастать ваш пассворд от кульной аси или ваш красивый мыльник - ну извините пожалуйста. С другой стороны трафф так или иначе проходит по не особо доверяемой территории и на самом деле протоколы просто должны это учитывать.
| |
|
2.16, Ыку (?), 11:36, 25/01/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Помнится несколько лет назад кто-то организовал Exit Node с целью проверки количества пересылаемой учетной информации в открытом виде. В итоге попались аккаунты каких-то членов из правительства или что-то в этом роде...
| |
|
1.5, Tav (ok), 21:35, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> Создав или взломав один из таких многочисленных узлов, злоумышленники осуществляли кражу паролей путем прослушивания транзитного трафика. Теоретически, возможна и схема с подменой данных на точке выхода.
Это "by design". Просто надо понимать, что Tor только позволяет обеспечить анонимность (скрыть источник данных). Сами даные при этом не защищены от просмотра или подмены. Tor имеет смысл использовать с протоколами, которые сами обеспечивают такую защиту: https, например.
| |
|
|
3.8, Tav (ok), 21:47, 22/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
Так там проблема не в https, а в пользователях. Надо быть идиотом, чтобы посылать пароли в открытую через Tor.
| |
3.9, Fou (??), 21:52, 22/01/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
>не поможет, http://www.opennet.dev/opennews/art.shtml?num=20390
Не принимается. В случае пар закрытый-открытый ключ, в случае заблаговременного безопасного обмена этими парами "всё будет хорошо". Например.
Тор интересен анонимизацией. На Кубе, например, или в Китае, читать и слушать по радио мировые новости и изучать историю... В ТОР имхо интереснее всего сокрытие "кто передавал", а не "что передавал".
| |
|
4.10, Gra2k (ok), 22:12, 22/01/2010 [^] [^^] [^^^] [ответить]
| +5 +/– |
Именно так, для чего придумывались все эти ссш изначально, как раз что бы не слать пароли открытым текстом. Тор тут не причем, но имхо писать о том, что открыто ни чего посылать нельзя, надо как можно чаще, что бы в зубах завязло, в инстинктах впечаталось "открыто отослал - значит уже потерял".
| |
|
|
|
1.7, Zenitur (?), 21:43, 22/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Да что ты будешь делать. Именно сегодня загрузил себе запрещённое классное зоонекропедосадомазокопропорновидео с обезьянками извращенками через Tor, как TOR взломали! И зря мучился с 2 килобайтами в секунду - всё равно теперь посадят.
| |
|
2.13, XoRe (ok), 03:02, 23/01/2010 [^] [^^] [^^^] [ответить]
| +15 +/– |
>зоонекропедосадомазокопропорновидео
Видеоуроки по Windows 7? =)
| |
|
3.17, Аноним (-), 11:50, 25/01/2010 [^] [^^] [^^^] [ответить]
| +/– |
>>зоонекропедосадомазокопропорновидео
>
>Видеоуроки по Windows 7? =)
префикс "некро" тогда забыли
| |
|
|
1.18, Аноним (-), 23:48, 26/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Идея проста до безобразия, но бьет очень точно.
Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)
Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)
Кстати отсылка к обмену ключами безопасно заранее конечно правильная, но только ИМХО где это видано ? Ну в банк-клиентах, и то (УЖАС) не во всех... А уж на всяких там сайтах... предполагается что HTTPS это панацея и если в начале стоит, то типа пароли можно бить в окошки без опаски, и это вдалбливают везде и всем вполне компетентные люди. Ну а выше собственно было показано чего это все стоит на самом деле... Кстати первая же и самая интересная цель с точки зрения наживы для выходного tor-сервера - PayPal - в большнстве аккаунтов привязаны реальные кредитки, достаточно логина и пароля и делай с ними что хочешь, причем совершенно анонимно... Хозяин даже если есть SMS оповещение не успеет ничего сделать, как счет выпотрашат...
| |
|