The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Результаты аудита Tor Browser и компонентов инфраструктуры Tor

26.10.2023 21:04

Разработчики анонимной сети Tor опубликовали результаты аудита браузера Tor Browser и развиваемых проектом инструментариев OONI Probe, rdsys, BridgeDB и Conjure, применяемых для анонимных сетевых соединений, защищённых от прослушивания и механизмов анализа трафика. Аудит проводился компанией Cure53 с ноября 2022 года по апрель 2023 года.

В ходе проверки были выявлены 9 уязвимостей, две из которые отнесены к категории опасных, одной присвоен средний уровень опасности, а 6 отнесены к проблемам с незначительным уровнем опасности. Также в кодовой базе было найдено 10 проблем, отнесённых к категории не связанных с безопасностью недоработок. В целом код проекта Tor отмечен как соответствующий практикам безопасного программирования.

Первая опасная уязвимость присутствовала в бэкенде распределённой системы rdsys, обеспечивающей доставку цензурируемым пользователям ресурсов, таких как списки прокси и ссылки для загрузки. Уязвимость вызвана отсутствием аутентификации при обращении к обработчику регистрации ресурсов и позволяла атакующему зарегистрировать собственный вредоносный ресурс для доставки пользователям. Эксплуатация сводится к отправке HTTP-запроса к обработчику rdsys.

Вторая опасная уязвимость найдена в Tor Browser и была вызвана отсутствием проверки цифровой подписи при получении списка мостовых узлов через rdsys и BridgeDB. Так как список загружается в браузер на стадии до подключения к анонимной сети Tor, отсутствие проверки по криптографической цифровой подписи позволяло атакующему подменить содержимое списка, например, через перехват соединения или взлом сервера, через который распространяется список. В случае успешной атаки злоумышленник мог организовать подключение пользователей через собственный скомпрометированный мостовой узел.

Уязвимость средней опасности присутствовала в подсистеме rdsys в скрипте развёртывания сборок и позволяла атакующему поднять свои привилегии с пользователя nobody до пользователя rdsys, при наличии доступа к серверу и возможности записи в каталог с временными файлами. Эксплуатация уязвимости сводится к замене размещаемого в каталоге /tmp исполняемого файла. Получение прав пользователя rdsys позволяет атакующему внести изменения в запускаемые через rdsys исполняемые файлы.

Уязвимости низкой степени опасности в основном были связаны с использованием устаревших зависимостей, в которых присутствовали известные уязвимости, или с возможностью совершения отказа в обслуживании. Из незначительных уязвимостей в Tor Browser отмечается возможность обхода запрета выполнения JavaScript при выставлении высшего уровня защиты, отсутствие ограничений по загрузке файлов и потенциальная утечка информации через пользовательскую домашнюю страницу, позволяющая отслеживать пользователей между перезапусками.

В настоящее время все уязвимости устранены, среди прочего реализована аутентификация для всех обработчиков rdsys и добавлена проверка загружаемых в Tor Browser списков по цифровой подписи.

Дополнительно можно отметить выпуск браузера Tor Browser 13.0.1. Выпуск синхронизирован с кодовой базой Firefox 115.4.0 ESR, в которой устранено 19 уязвимостей (13 признаны опасными). В версию Tor Browser 13.0.1 для Android перенесены исправления уязвимостей из ветки Firefox 119.

  1. Главная ссылка к новости (https://blog.torproject.org/se...)
  2. OpenNews: Атака на пользователей Tor, в которую вовлечено четверть мощности выходных узлов
  3. OpenNews: Новый вид теоретической атаки по деанонимизации в Tor
  4. OpenNews: Выявлена группа ретрансляторов Tor, используемых для деанонимизации
  5. OpenNews: Капча CloudFlare может применяться для деанонимизации пользователей Tor
  6. OpenNews: Исследователи из MIT разработали систему анонимных коммуникаций Riffle
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59999-tor
Ключевые слова: tor, broser
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (121) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 21:31, 26/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Мой маленький вброс: большинство узлов Тора запущены с использованием systemd. Теперь прошу опеннетных экспертов доказать несостоятельность сети из-за этого параметра.
     
     
  • 2.4, Аноним (4), 21:46, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфы есть или сам придумал?
     
     
  • 3.36, Bottle (?), 23:48, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На Арчевики описан только способ с использованием systemd.
     
     
  • 4.124, Аноним (124), 22:38, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще-то там описан и альтернативный запуск. Но ты же просто пытался в юмор.
     
  • 2.13, Минона (ok), 22:27, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > большинство узлов Тора запущены с использованием …

    … параметра ядра init=
    😎

     
  • 2.66, Пряник (?), 09:47, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё Linux и кучу других системных библиотек и сервисов. Тем не менее весь интернет на этом держится. Почему именно systemd смутил?
     
     
  • 3.70, Алиса (??), 11:12, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    гугель у себя в сервисах пости полностью игнорирует сустам-ди. А причина простая - контейнеры. Если не джокеры, то пубернетис, если не пубернетис, то у них есть что-то ещё на эту тему. И свой супервайзор для обеспечения работы этого поделия. А гугл - это приличный кусок интернета.
    Тоже самое касается aws. Там тоже как-то параллельно относятся к сустам-ди, он им не интересен, потому что задач для этого поделия у них нет.

    А вот Лёлику и в его лице майкрософту сустам-ди интересен в лице политики "не можешь победить - возглавь и уничтожь изнутри".

     
     
  • 4.76, Пряник (?), 12:19, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Причём у них конкуренция схожих технологий даже внутри компании есть. Вообще стремиться быть лучше кого-то - тупизм. Никогда не нужно себя ни с кем сравнивать вообще.
     
  • 4.105, voiceofreason (?), 16:42, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > не можешь победить - возглавь и уничтожь изнутри

    Чем уничтожить, тем что кривов...нные баш-портянки заменили на ini-файлы в 10 строчек?

    С красноглазым зоопарком линукс дальше не поедет никуда. 20 лет пытается. Без разницы кто стандартизировать всё будет, каноникал, шапка, Патрег. Шапка очевидно хочет уже вылезти из этой гик-песочницы и линукс с GUI хоть куда-то пропихивать.

    Для любителей эстетики 1970ых и умственного онанизма всё есть, никто не отнимает, пилите из сорцов что хотите сами. Но мейнстримом это уже никогда не будет.

     
  • 2.92, Аноним (92), 13:40, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ХЗ насчёт через systemd. У меня он запускается как: /etc/init.d/tor start
     
  • 2.108, Аноним (108), 18:00, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Мой маленький вброс: большинство узлов Тора запущены с использованием systemd. Теперь прошу опеннетных экспертов доказать несостоятельность сети из-за этого параметра.

    из тогь, что сразу режет глаза:

    "Эксплуатация уязвимости сводится к замене размещаемого в каталоге /tmp исполняемого файла."

    сыстемды специально сделан так, чтобы в системе были файловые системы одновременно доступны для записи и исполнения.

    в дистрах с сыстемды заложена уязвимость:

     
     
  • 3.111, Аноним (111), 18:20, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    # mount |grep -v -E '(noexec|ro)'

    Тест на монтирование дисков. Ничего не должен выводить. И какой дистр с сыстемды его проходит?

     
     
  • 4.115, Аноним (115), 19:56, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы непоняли.
    Не ro, а запись для other (в общем месте, куда и системные файлы при установке попадают и исполняются позже) и возможность выполнить.
     

  • 1.5, Аноним (5), 21:51, 26/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Объясните зачем нужен Tor если его почти все сайты блокируют.
     
     
  • 2.6, Аноним (6), 21:57, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кажется невидия при закачке драйверов и еще что-то саковерфлоу-подобное еще было, больше за лет пять не сталкивался. Небольшое количество капчу решать просят если через тор заходишь. В остальном все нормально.
     
     
  • 3.16, Аноним (5), 22:49, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > капчу решать просят

    Вижу капчу на входе, сразу закрываю сайт.

     
     
  • 4.21, Аноним (21), 23:11, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    хорошо
    не подходи больше к tor
     
  • 4.25, Аноним (25), 23:16, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Вижу капчу на входе, сразу закрываю сайт.

    а как тогда вы написали это сообщение? на этом портале аноны только через капчу

     
     
  • 5.65, Аноним (65), 09:45, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну он написал "капчу на входе". Здесь всё-таки капчу анонимам надо вводить при постинге.
     
  • 5.94, Аноним (92), 13:42, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пускает без капчи. Но все посты, сделанные через TOR, помечаются как скрытые модератором сразу.
     
     
  • 6.114, Аноним (114), 19:02, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не все, а только те, которые короче определенного количества букв.
     
  • 4.78, Аноним (78), 12:24, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шпионский вредоносный фингерпринтинговый скрипт - это не каптча.
     
  • 3.54, Бывалый смузихлёб (?), 06:04, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С тором ещё есть забавная штука
    В зависимости от того в какой стране выходная нода - поисковики вроде утка-утка-иди или даже гугела ведут себя по разному
    В иных случаях речь об огромном количестве контента который не выдаётся в других странах по требованию регуляторов
     
     
  • 4.56, ryoken (ok), 08:06, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что там через searx.be ?
     
  • 4.79, Аноним (78), 12:25, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В утку из torа надо ходить по .onion.
     
  • 2.7, Не по ГОСТу (?), 22:09, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Плюс ЮТ тот же не посмотришь, наверно,.. (тут стоит проверять .onion-адреса Invidious)


     
     
  • 3.11, Аноним (6), 22:21, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Попробовал, вроде проигрывает ютуб
     
     
  • 4.96, Аноним (92), 13:46, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут по-разному бывает: то проигрыает без вопросов, то "Извиняй, братан, с вашего адреса зафиксирована подозрительная активность."
     
  • 3.14, Аноним (14), 22:40, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    invidio.us - ютуб без рекламы (те же файлы, те же url после домена), отлично работает через тор.
     
  • 3.82, Пряник (?), 12:31, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смысл смотреть тытруб через тор? Скорость же хуже.
     
     
  • 4.97, Аноним (92), 13:48, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для тренировки готовности противодействовать действию ТСПУ.
     
  • 4.123, Аноним (123), 22:06, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а нам чем хуже
    тем лучше!
     
  • 2.17, но5им (?), 22:52, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бесплатно похоститься
     
     
  • 3.19, Аноним (5), 23:10, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это каК?
     
     
  • 4.22, Аноним (21), 23:12, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    никак
    забудь
    все хорошо
     
  • 4.38, Аноним (6), 00:01, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Tor hidden service. За 5 минут создаётся onion домен, например чтобы в умый дом к себе домой снаружи заходить или ещё что угодно.
     
     
  • 5.40, Аноним (40), 00:48, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тор делает NAT traversal. Хостишься ты все равно на какой-то своей железяке.
     
     
  • 6.46, Аноним (5), 02:20, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он наверное имел введу бесплатный домен из несвязанного набора букв, а не хостинг.
     
     
  • 7.57, Аноним (6), 08:26, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, разумеется речь о домене. Первые символов 8, приблизительно, в домене можно и любые свои сделать, но остальные - да, абракадабра будет, но зато это публичный ключ там встроен и не нужно никакие SSL сертификаты донастраивать, все из коробки есть.
     
  • 2.20, Аноним (21), 23:10, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    зачем ты пользуешься tor?
    ну капча, ну и брось это
     
  • 2.27, Аноним (-), 23:33, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Объясните зачем нужен Tor если его почти все сайты блокируют.

    А вот чтобы обнаруживать такие спайварные сайты и нужен, если кто-то не ОК насчет анонимизатора - это сразу намекает на их отношение к приваси и что они с персональными данными делают :)

     
     
  • 3.72, Аноним (72), 11:38, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спаммеры и privacy-фрики на ресурсах не нужны.
     
     
  • 4.80, Аноним (78), 12:27, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, невыгодны. Если не знаешь об бэкдорах Tor Browser, позволяющих исполнять JavaScript.
     
  • 3.74, Аноним (74), 11:53, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    TOR скорее политический проект, а не анонимизатор. Я против TOR, но не против реальных анонимизаторов, в особенности если он будет в штатах.
     
     
  • 4.75, Аноним (74), 12:17, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сделайте свой анонимизатор для распространения криминала и прикрытия разведки у ... большой текст свёрнут, показать
     
     
  • 5.110, Аноним (110), 18:17, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >свой анонимизатор

    оксюморон. Анонимизатор предполагает анонимность. Если им пользуется 1 человек, то какая же это анонимность?

    >ой мы это контролировать не можем, ой что же делать, как его начать контролировать?

    Этот вой, в том числе в отношении Tor, был, есть и будет.

     
     
  • 6.140, Аноним (140), 04:03, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может вы не будете вводить себя в заблуждение путая анонимность и авторство? У Tor есть свой законный владелец, в инет лезть не хочу... по моему НКО TOR Project. Соответственно там есть конкретные разработчики и владельцы. Может они анонимные, а может нет, но разработка под силу одному человеку.

    Это вой? Ну американцы так себя ведут публично с очевидными конкретными целями. А в последнее пару лет их вой касательно многих вещей настолько толстый и не естественный что у меня лично доверия не вызывает. Хм... если кто сделает аналогичный продукт, то займёт свою нишу — пользователей много, а у Tor много недостатков чтоб сделать лучше.

     
     
  • 7.155, Аноним (155), 13:51, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так сделали же, I2P.
     
     
  • 8.157, Аноним (157), 18:52, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тот что до ужаса медленный и на Java, если я не путаю А им возможно нормально п... текст свёрнут, показать
     
  • 5.112, Аноним (112), 18:27, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Насчёт же тиктока и хуавея инсируаци обоснованны. Меры против них слили когда их Трамп предложил только потому, что хотели Трампа унизить, мол вот он, никакой ни лидер, ничего не решает, не смотря на то, что так делать - это выстрел себе в ногу. Зато когда Дементно-коррупционно-кокаинового поставили, то живо всё приняли. Позор, что Трампу, которому пришлось под коррупционеров прогибаться, что всей американской элите, поголовно погрязшей в коррупции. Но даже такой Трамп был лучше, чем демпартия, отсюда и нужны были скомпрометированные выборы 2020 года.
     
     
  • 6.144, Аноним (140), 04:36, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вся проблема в том что он китайский и в осознании того что можно делать с данными, все остальное хрень высосаная из пальца. Далеко не факт что правда.
     
     
  • 7.153, Аноним (153), 11:24, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Продукция компаний государств, где все компании являются продолжением партии и разведки и по закону обязанны действовать в её интересах и выполнять её приказы угрожает всем видам безопасности. Вне зависимости от того, китайская она, или австрашийская. Но с Австранией у США альянс и руководство США считает, что их дезопасности Австралия не угрожает. А с КНР альянса нет.
     
  • 6.145, Аноним (140), 04:50, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И да, особо свободные — научитесь уважать других людей с другой культурой, если считаете себя особо свободными людьми!
     
  • 5.149, Электрон (?), 10:08, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Cure53 - немцы, но контакты имеются. Для американской спецслужбы (дочерний проект) видно как-то аудит делали, там всех в опубликованных аудитах замазали.
     
  • 2.42, foo (?), 01:12, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ровно наоборот, КАЖДЫЙ УВАЖАЮЩИЙ СЕБЯ САЙТ ИМЕЕТ ЗЕРКАЛО В СЕТИ TOR - от реп дебиан до реддит и нью йорк таймс.
     
  • 2.52, Аноним (52), 05:42, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Объясните зачем нужен Tor если его почти все сайты блокируют.

    Я заметил, что его блокируют исключительно русскоязычные сайты.

     
     
  • 3.60, Аноним (6), 08:46, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это скорее просто все иностранные IP блочат, т.к. задалбывают ддосами и т.п.
     
  • 3.61, Аноним (61), 08:47, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Его блокируют ОпСоСы.
     
  • 2.62, Аноним (62), 09:05, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Объясните зачем нужен Tor <<<

    Лично я его использую для скачивания книг с Генезиса.

     
  • 2.73, Аноним (74), 11:47, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для криминала. TOR позволяет некоторую анонимизацию и обход блокировок. Соответственно в этой сети есть все что запрещено — торговля людьми, наркотиками, непосредственно криминал и торговля данными или другой киберкриминал.
     
     
  • 3.85, BeLord (ok), 12:34, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для анонимности нужен анонимный девайс, потом возможно подключения к левой сети из которой можно выйти в сеть, при этом в ПО которым пользуешься не должно быть закладок, а ты сам лично должен обеспечить мероприятия, чтобы не засветить свою геопозицию и так далее, при этом одна маленькая оплошность и тебя засекли. В перечисленном выше ТОR слабый помощник-))))
     
     
  • 4.141, Аноним (140), 04:15, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее вышеперечисленное в Tor есть и в Telegram есть. Но кого вы выгораживаете мне ясно.
     
  • 3.89, Аноним (78), 12:46, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раскрою тебе секрет: свобода слова криминализирована во всех государствах. Осуществление своего права на свободу слова везде является криминалом. Неосуществление - скотством. Есть 2 стула...
     
     
  • 4.143, Аноним (140), 04:30, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Та читайте себе новости. Боже, нодой для киберпреступников становится из-за новостей! Как глупо! А vpn разве у вас тоже нельзя купить?

    У кого-то там машину угонят, банковскую карточку обчистят, зато вы блин почитали новости! Пипец!

     
  • 2.81, Пряник (?), 12:28, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Они блокируют ноды-выходы из сети Tor. Их IP не являются тайной и любой может блокировать. Но если все в мире запустят ноды-выходы, то сайтам станет бесмысленно их блокировать.
     

     ....большая нить свёрнута, показать (51)

  • 1.9, Аноним (9), 22:15, 26/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Всё ещё 30% узлов принадлежит АНБ? https://www.makeuseof.com/tor-exit-nodes-spying Хотя порядком теперь должно быть более 50.
     
     
  • 2.12, Аноним (12), 22:26, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Всё ещё 30% узлов принадлежит АНБ?

    а если бы они принадлежали ФСБ, тебе было бы спокойнее?

     
     
  • 3.24, Аноним (21), 23:14, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    он наркоман, ему что анб
    что фсб, что ббб
     
  • 2.23, Аноним (21), 23:13, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да!
    и ты это знаешь.
    Мы верим тебе и идем своим путем
     
  • 2.102, Аноним (102), 15:08, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://opennet.ru/46944-law
     
  • 2.127, Аноним (124), 22:53, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чем АНБ угрожает законопослушному россиянину, решившему почитать заблокированные новостные сайты через Тор?
     
     
  • 3.135, Аноним (135), 23:56, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.wikipedia.org/wiki/Законопослушный_гражданин
     
  • 3.142, Аноним (140), 04:25, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А я не с вашей страны, можете навести пример таких сайтов? Хочется иметь представление, что вам так хочется прочесть то?
     
     
  • 4.147, Darkhon (?), 07:24, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да хоть ту же Би-Би-Си или Медузу. Другой вопрос, что для этого хватает любого VPN, и ходить туда через Tor с его тормозами - явный оверкилл. За посещение сайтов у нас пока ещё сажать не начали.
     
  • 4.154, Аноним (155), 13:48, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    http://mininform.gov.by/documents/respublikanskiy-spisok-ekstremistskikh-mate
     
     
  • 5.167, Аноним (167), 03:57, 01/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мне лень это качать, тем более в неудобном формате doc.
     
  • 3.158, Neon (??), 23:26, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Понятия законопослушный гражданин могут быть разные в разных странах.
     

  • 1.41, Аноним (40), 00:50, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Из незначительных уязвимостей в Tor Browser отмечается возможность обхода запрета выполнения JavaScript при выставлении высшего уровня защиты

    Похоже на серьезную дыру.

     
     
  • 2.69, Алиса (??), 11:04, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если фуррифоку, на котором основан тор-бровзер запретить понимать javascript, он сломается. Там энная часть потрохов работает на js или его диалектах.
     
     
  • 3.83, Аноним (78), 12:32, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В потрохах действительно не выключается. Но потроха привилегерованные и стнаницы их изменять не могут даже хитрыми трюками, применяется taint analysis в рантайме - то, чего нам так не хватает в Python и NodeJS. Выполнение JS веб-страницами - выключается, это фича самого Firefox, а не Tor Browser.
     
  • 2.71, Аноним (71), 11:36, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет.
    Как здесь любят говорить, это _специальное_ технологическое отверстие.
     
     
  • 3.122, Аноним (123), 22:04, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    просто ты не понимаешь о чем это
     
  • 2.98, Аноним (92), 13:56, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтоб Жопаскрипт не беспокоил утечкой IP, запрети правилом файервола юзеру, под которым TOR-браузер, ходить в инет напрямую.
     
     
  • 3.99, Аноним (71), 14:07, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да поставь логирование в правила, что бы знать какая зараза суётся куда не надо.
     
  • 2.121, Аноним (123), 22:03, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ты посмотри в него внимательно ))
    там есть noscript ))
     
     
  • 3.134, Аноним (135), 23:54, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    JS блокируется не через NoScript, а на уровне самого браузера. Это штатная функциональность обычного Firefox. Когда-то давно даже галка в настройках была. Любые галки в настройках Firefox - это просто GUI к параметрам about:config.
     

  • 1.53, Аноним (52), 05:46, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    В России наружу трафик пускают только через одну товарищ-майоровскую входную ноду. Даже смена "идентичности" не помогает. Трафик идёт по одному и тому же маршруту. И это плохо.
     
     
  • 2.59, Аноним (59), 08:43, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В конфиге можно запретить все ноды из россии, белорусси, украины и других мест куда дотягивается родная гебня. Разве это не помогает?
     
     
  • 3.64, Аноним (-), 09:21, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем их запрещать? Пусть работают и помогают нашей общей скрытосети.
     
  • 3.93, Аноним (-), 13:40, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Входная товарищ-майоровская нода из Франции и IP всегда один и тот же. Про конфиги спасибо. Ты не понял, трафик специально идёт через одну ноду.
     
     
  • 4.100, Аноним (-), 14:18, 27/10/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.117, Аноним (123), 20:02, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    бред, ибо наблюдается осутствие знаний
     
  • 4.128, Аноним (124), 22:56, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Во Франции у провайдеров не стоит "черный ящик".
     
  • 2.63, Хволк (?), 09:20, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуй I2P outproxy.
     
  • 2.67, Bonbon (?), 09:55, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не может такого быть by design. Проксировать может любая нода, а вот выходы идут через trusted nodes.
     
  • 2.159, Neon (??), 23:27, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не гадь стране и всем тов.майорам будет глубоко на тебя пофиг. Неуловимый Джо никому не нужен
     

  • 1.58, Аноним (58), 08:31, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ОУД4 будут проходить?
     
     
  • 2.86, Аноним (78), 12:35, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо, я не слышал о https://en.wikipedia.org/wiki/Evaluation_Assurance_Level до твоего поста.
     

  • 1.77, Аноним (78), 12:21, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Из незначительных уязвимостей в Tor Browser отмечается возможность обхода запрета выполнения JavaScript при выставлении высшего уровня защиты

    Всё что надо знать о проекте Tor.

    У них не в первый раз такой бэкдор. Я не понимаю, если честно, как такое возможно, если Safest отключает JavaScript через javascript.enabled. Только если либо бэкдор/уязвимость в самом Firefox присутствовал(а), либо если Tor Project эту часть кода Firefox пропатчил и внёс бэкдор (а вот этому уже нет никакого оправдания).

     
     
  • 2.95, Аноним (-), 13:43, 27/10/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.101, Аноним (71), 14:48, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.dev/openforum/vsluhforumID3/131901.html#98
     
     
  • 3.104, Аноним (104), 16:40, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бесполезный совет. Для деанона ему достаточно через Tor собранную инфу переслать, и никакой Qubes + Whonix не поможет. Это если без взлома браузера. А JS существенно расширяет возможности по его взлому... Не говоря уже о том, что и сам Tor, и Firefox при стандартной поставке торбраузера запускаются от одного и того же пользователя - нет у них прав пользователей в системе создавать.
     
  • 2.118, Аноним (123), 20:05, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не думал, что речь идет о no-script?
    причем кому нужен браузер, который ничего совсем не видит?
    там где нужно открываешь скрипты.
    это не баг, а фича
     
     
  • 3.132, Аноним (135), 23:48, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну сильно давно эти бэкдорщики полагались на JS Потом обнаружилась прямо вот та... большой текст свёрнут, показать
     
     
  • 4.133, Аноним (135), 23:49, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну сильно давно эти бэкдорщики полагались на JS

    *Ну сильно давно эти бэкдорщики полагались на NoScript.

    фикс.

     

  • 1.106, iCat (ok), 16:56, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Даже интересно стало: что должно быть раскрыто для того, чтобы поколебать устойчивый миф про возможность анонимности в интернет?
     
     
  • 2.109, Аноним (109), 18:14, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > что должно быть раскрыто

    Не стесняйся, выкладывай, что есть.

    tor - очень хорошо помогает при апдейте прог и антивирусных баз.

     
     
  • 3.146, iCat (ok), 06:24, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> что должно быть раскрыто
    > Не стесняйся, выкладывай, что есть.
    > tor - очень хорошо помогает при апдейте прог и антивирусных баз.

    А что - того, что УЖЕ раскрыто - недостаточно?

     
  • 2.120, Аноним (114), 20:33, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лучшая анонимность это взломанный вайфай с паролем 12345678 из соседнего дома. Я не знаю кем надо быть чтобы в наше время светить перед провайдером своими данными. За интернет не плачу с 2006 года со времён как начал интересоваться вардрайвингом.
     
     
  • 3.129, Твой сосед с вайфаем (?), 22:59, 27/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А мне не жалко, наблюдать за твоей интернет-активностью даже интереснее, чем Дом-2.
     
     
  • 4.148, Darkhon (?), 07:29, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Взломанный вайфай не отменяет использования VPN)
     
     
  • 5.156, Anonymous1917 (?), 17:29, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пока ты вайфай ломал, я твой комп калитка открывал и кеши процессора шатал, VPN на MITM переделывал
     
  • 3.136, Аноним (135), 00:04, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Был в США один придурок, рассылал с соседского вайфая цп по емайлу коллегам соседа по работе. Быстро был пойман и сел сразу по куче статей. И поделом.
     
     
  • 4.152, Аноним (152), 11:15, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в России гебня заморачиваться не станет, посадит владельца Wi-Fi.
     
     
  • 5.161, Neon (??), 23:29, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это смотря как гадить стране. Могут и заморочиться
     
  • 3.160, Neon (??), 23:28, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Соседний дом уже уязвимость.))) Нужно из другого континента или вообще, из другой Галактики
     
     
  • 4.163, Прыгающий Ленивец (?), 00:22, 01/11/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Из другой галактики всё же пока ещё палевно
     

  • 1.113, крокодил мимо.. (?), 18:40, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    извините за оффтоп, есть вопрос:
    - офф. сборки сабжа для Windows и сборки во многих дистрибутивах идут без lzma и без lzstd, почему?
    можно ссылку на девов, если была такая дискуссия.. не могу найти..
    спс..
     
     
  • 2.139, Аноним (140), 03:43, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Выглядит странно, вы в этом уверены? Это не особенность TOR, а Firefox. У Firefox вроде все отлично с этим. А Тор сама винда периодически удаляет — лень ставить.
     
     
  • 3.150, крокодил мимо.. (?), 10:25, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Выглядит странно, вы в этом уверены?...

    более чем.. пример:
    Tor 0.4.8.7 (git-bf5e234d44e73127) running on Windows <#> with Libevent 2.1.12-stable, OpenSSL 3.0.11, Zlib 1.3, Liblzma N/A, Libzstd N/A and Unknown N/A as libc.

    libc для Windows - норм, а lzma и lzstd специально при сборке отключают во многих дистрибутивах *nix.. ищу причину..

     

  • 1.168, Аноним (168), 04:09, 01/11/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    *1
    Directory Authorities
    https://tor.stackexchange.com/questions/4852/how-many-directory-servers-are-th
    https://metrics.torproject.org/rs.html#search/flag:authority

    *2
    https://en.wikipedia.org/wiki/Intel_Management_Engine
    https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor

    *2.1
    https://www.magnitrade.ru/image/cache/catalog/instrument/paylnik/vud-1200x800.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру