1.1, SpiritOfStallman (ok), 00:30, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А почему бы не использовать виртуалку, а не новую прослойку, у которой свои баги и заморочки в подарок?
Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?
| |
|
2.2, Гентушник (ok), 01:01, 13/12/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
Виртуалку можно использовать и сейчас, но у неё большие накладные расходы.
Если виртуалку каждый раз не пересоздавать при запуске тор-браузера, то если браузер взломают и понапихают в гостевую ОС бекдоров, то они будут жить там долгое время.
Т.е. даже если секьюрити баг в тор-браузере в обновлении закроют, то зараза всё равно останется в системе.
bubblewrap насколько я понял каждый раз пересоздаёт контейнер, так что время жизни потенциальной заразы ограничено временем работы тор-браузера. А при обновлении с исправлениями уязвимостей зараза уже не переедет в новый контейнер.
Насчёт безопасности прослоек - bubblewrap использует ядерные namespaces, так что безопасность по большей степени зависит от них, а не от этой утилиты (хотя в ней конечно тоже могут быть баги).
| |
|
|
4.12, Гентушник (ok), 07:46, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> а это хорошая идея. С пересозданием виртуалки
Только после пересоздания нужно не забывать обновлять тор-браузер, ставить обновления ОС и прочее... Слишком много возни.
| |
|
5.28, PnDx (ok), 12:35, 13/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
1. Снапшот.
2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед каждым запуском.
3. Запускаем из основного контейнера, обновляем, новый снапшот.
Как-то так, с поправкой на возможности любимой среды виртуализации.
Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…
| |
|
6.45, Аноним (-), 10:18, 10/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> 1. Снапшот.
> 2. Браузер каждый раз пускаем со снапшота. Или ro, или откат перед
> каждым запуском.
> 3. Запускаем из основного контейнера, обновляем, новый снапшот.
> Как-то так, с поправкой на возможности любимой среды виртуализации.
> Сто́ит ли некоторое улучшение анонимности такой возни — отдельный вопрос…
— Вторая свежесть — вот что вздор! Свежесть бывает только одна — первая, она же и последняя. А если осетрина второй свежести, то это означает, что она тухлая!»
| |
|
|
|
3.4, leap42 (ok), 03:23, 13/12/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> но у неё большие накладные расходы
ну сколько можно эту чушь с грязношвабра повторять как мантру? вы сами то хоть тесты делали? 5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).
| |
|
4.5, Аноним (-), 04:32, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Пруфы в студию, ссылки на проведенные тесты, графики, и прочее... Газификацией луж занимаетесь товарищ...
| |
|
|
6.10, Аноним (-), 07:03, 13/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чушь, товарищ leap42, вы несёте. Чтобы накладные расходы были 2-3% нужно иметь топовые железяки.
| |
|
7.26, leap42 (ok), 11:36, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
с какого уровня начинаются топовые железки? на каком заканчиваются нетоповые? на каком основании сделаны выводы? ссылки на подтверждающие тесты будут?
| |
|
6.29, Мишко (?), 13:15, 13/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, да... Только кто учитывает, сколько затратится ОЗУ, сколько места на хранилище для виртуалки? Да и кому это интересно, если 1 гиг только на запуск (не забыть время загрузки), если 3-4 гига жестяка уходит под виртуалку? Все эти отчеты хороши только пока у тебя до пса ресурсов.
| |
|
5.8, leap42 (ok), 05:57, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
я в состоянии сам потестировать, чай не на винде сижу
а газификацией луж, дорогой аноним, занимаются апологеты докера
| |
|
|
7.32, Аноним (-), 17:59, 13/12/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Сколько оверхед по занятой памяти и жесткому диску?
Ты бы ещё износ клавиатуры посчитал и пробег мыши, ей-богу. Даже если контейнеру для запуска понадобится 32Гб жёсткого диска и 8Гб RAM, какая разница? В каких реальных случаях тебе понадобится больше одного такого контейнера? А учитывая, что реально ему нужно будет 5-7 Гб HDD и 1-1,5 Гб RAM, говорить вообще не о чем.
| |
|
|
|
|
3.22, Аноним (-), 10:23, 13/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
А зачем пересоздавать, если можно откатить до снимка на начало работы. Обновить систему и обновить снимок.
| |
|
2.14, Аноним (-), 08:47, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Есть ли возможность узнать что-то особое о хосте, из виртуалбокса к примеру?
Ping из виртуалбокса без проблем раскроет IP-адрес основной системы, чтобы этого небыло нужно городить хитрый проброс всего трафика через tor proxy.
| |
|
|
4.25, Аноним (-), 11:19, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Вас отрезали от ВПН?
Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать реальный IP клиента. Как выход можно весь трафик заворачивать в Tor, но это скорее исключение из правил. Обычно не парятся и запускают Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности.
> Что там пинговать собираетесь?
свой внешний хост, на котором высветится не интранет адрес виртуальной машины, а уже оттранслированный IP клиента или адрес VPN (см. ответ выше).
| |
|
5.46, Аноним (-), 10:33, 10/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Вас отрезали от ВПН?
> Зная IP VPN наделённые властью могут надавить на провайдера VPN и узнать
> реальный IP клиента. Как выход можно весь трафик заворачивать в Tor,
> но это скорее исключение из правил. Обычно не парятся и запускают
> Tor в виртуальной машине (Tails запускают). Как думайте ловят всех этих
> владельцев притонов в onion-зоне? Попадаются именно на таких мелочах и неосторожности.
Вся эта возня с законами о https://www.opennet.dev/opennews/art.shtml?num=46944 нужна по многим причинам, но одна из них ИМХО, государство в лице всей вертикали, и прочие присосавшиеся, да простые работники (и создание новых рабочих мест), что бы не ударить лицом в грязь должно осваивать больше средств, чем крутится на том рынке с которым пытаются бороться. А то как то несолидно выглядит ;)
Вот бы посмотреть статистику как именно попадаются.
Там ведь специалисты работают. У них уже наверняка наработаны методы.
Максимум ИМХО при передаче бабла.
| |
|
|
3.20, Нанобот (ok), 10:07, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
а это только если пользоваться конфигурацией по-умолчанию (заточеную под удобство использования)
| |
3.31, vi (ok), 17:46, 13/12/2016 [^] [^^] [^^^] [ответить] | +/– | Хитрый, говорите Add group and user groupadd -g 17500 whowho useradd ... большой текст свёрнут, показать | |
|
4.33, vi (ok), 18:31, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
It's a shame! One line is lost.
+ ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"
| |
|
5.47, Аноним (-), 10:51, 10/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
> ipt_inet -t nat -A OUTPUT-torify-clnt -m tcp -p tcp -j DNAT --to-destination
> "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
> ipt_inet -t nat -A OUTPUT-torify-clnt -m udp -p udp -j DNAT --to-destination
> "${REMOTE_TOR_HOST}":"${REMOTE_TOR_PORTS}"
> It's a shame! One line is lost.
> + ipt_inet -t nat -A OUTPUT-torify-clnt -j DNAT --to-destination "${REMOTE_TOR_HOST}"
Выше вот интересные комменты.
| |
|
|
|
|
1.6, Аноним (-), 05:41, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Таненбаум уж 30 лет назад говорил, и Minix спроектирован так, что всё должно быть изначально в песочницах. Ядро следит за тем - какой песочнице какие права выдаются.
Обновления независимые и обратимые.
А теперь:
- Андроид права и jail
- IOS права и jail
- Systemd jail
- FreeBSD
- Docker
- LXC
- RKT
- OpenVZ
- Snaps
- Flatpack
...
Я знаю что это разного применения утилы.
Но Вам не кажется, что изоляция/песочница - вполне может быть одна?
Они все используют Cgroups/Namespaces. Все работают от рута.
Так может уже пора что-то одно написать?
In Minix everything but the micro-kernel is a user process.
Я о том, что он показал, что нам надо - ещё 30 лет назад. А мы пропустили сквозь уши, пишем разные велосипеды но в итоге идём к тому-же самому. Только с полным бардаком.
Как и команда ядра теперь думает как в монолитном ядре отделить от него драйвера.
| |
|
2.11, Аноним (-), 07:08, 13/12/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чего одно? Вы предлагаете для разных платформ одно писать? Нет, я понимаю ещё объединить flatpack и snaps. Я могу понять, что надо перенести из FreeBSD jail. Но что вы предлагаете на ведройде делать? Там и так всё анально разграничено и тогда им придётся архитектуру полностью менять. iOS туда же, да ещё и закрытое.
Docker нужен не для визуализации а для быстрого развёртывания софта в контейнере. Что-то типа chroot, но защищённый.
Одна утилита для одной цели, давайте будем придерживаться этого золотого правила, ок?
| |
2.19, Аноним (-), 10:00, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
А каждая команда пилит свой путь, истиннее, чем путь других команд. И недопиливает по чуть-чуть, что заставляет еще кого-то уже "свое" делать.
Таненбаум дядька легендарный, но систему свою кроме как пиарить как предтечу Линукса, особо не смог к делу пристроить. Этак можно и Ивана Грозного приплести, что он велел нехристям жить опричь российских людей - тоже песочница, да еще с firewall-ом, тьфу, заставой!
Сказать-то каждый может. Сделать - нет.
| |
2.21, ANISEND (?), 10:09, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Кажется. Нужно уходить с линуксов вообще. Только использовать прослойку для работы с оборудыванием на первое время. Вон Genode куда-то туда и идет.
| |
|
1.13, Меломан1 (?), 08:09, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
>Tor Browser в изолированном окружении
Socks proxy работать не будет и придется запускать еще один Tor. Почему все разработчики ПО считают, что компьютеры резиновые?
>5% - накладные расходы на виртуализацию (в большинстве случаев так вообще 2-3%).
Вы это скажите моему ноуту, может вас послушает и перестанет жрать память и проц.
| |
|
2.35, DR94 (ok), 21:08, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Абсолютно та же ситуация, по ощущениям накладные расходы все 20-30% да и держать ось в коробке ради браузера, изврат как по мне...
| |
2.37, Аноним (-), 22:46, 13/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вы это скажите моему ноуту, может вас послушает и перестанет жрать память и проц.
Ноут. Жрёт память и проц. Бардак в голове ничего не жрёт?
| |
2.39, Аноним (-), 23:36, 13/12/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Socks proxy работать не будет и придется запускать еще один Tor.
Где это написано?
| |
|
|
2.23, Аноним (-), 10:25, 13/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
По первой ссылке интервью с автором sandboxed-tor-browser, первый релиз которого описан в обсуждаемой новости. Планировали создать уже давно, но пригодный для использования альфа-выпуск сделали только сейчас.
По второй ссылке никакой защиты от определения реального IP, в то время, как главной задачей sandboxed-tor-browse является защита от утечки IP в случае взлома браузера.
| |
|
1.24, Аноним (-), 10:51, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А чем это отличается от других контейнеров? Контейнер системд или просто chroot, например.
| |
1.38, Аноним (-), 23:09, 13/12/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А можно ли sandboxed-tor-browser запустить внутри firejail, запущенного внутри docker?
И насколько скажется на производительности?
| |
|
2.42, Аноним (-), 12:45, 14/12/2016 [^] [^^] [^^^] [ответить]
| +/– |
Мальчик: Дяденька, а можно я прыгну с 10 этажа?
Дяденька: Можно мальчик, но только 1 раз.
| |
|
|