Главная | Настройки | NSFW
Тема:
Доски


[Ответить в тред] Ответить в тред

[Назад] [Обновить тред] [Вниз] [Каталог] [ Автообновление ] 25 / 3 / 13

Anonymous No.1
e617a5c801fc028[...].png (74 KB, 1200x725)
Здесь обсуждаем компрометацию Tor Browser и что с ней делать.

Что имеем:
https://blog.torproject.org/comment/277025#comment-277025

- Версия 7.х со слов неких "эксплоит-брокеров" имеет уязвимость (возможно, вброс)
https://www.theregister.co.uk/2018/09/10/torched_zerodium_drops_exploit_for_version_7_of_anonymous_browser/

- Обновления автоматическии устанавливаются без каких-либо оповещений что даёт возможность встроить троян при компрометации организации, разрабатывающей браузер

- В версии 8.0 запрещено менять Tor Circuit

- В версии 8.0 при перезагрузке сбрасываются настройки NoScript в положение "js активирован"
Anonymous No.2
Все написанное относится к браузеру firefox из комплекта Tor browser, а не непосредственно к сети.
Ну и называть включенное автоматическое обновление браузера и баг NoScript расширения компрометацией Tor это как-то слишком, не находишь?
Anonymous No.3
nihua.png (103 KB, 999x670)
>>1 (OP)
>запрещено менять Tor Circuit
Можно, смотри пик. Меня волнует другое: где посмотреть, через какие ноды идёт твой трафик? В Torbutton этого больше нет.
Anonymous No.4
>>3
>где посмотреть, через какие ноды идёт твой трафик?
А возможно это посмотреть, если мой Tor работает в виде сервиса на отдельной машине?
Anonymous No.5
>>1 (OP)
Мне кажется, в сабже вообще очень мало смысла. Сетевая изоляция на уровне внутренностей приложения, причём такого дырявого и переусложнённого как современные веб-браузеры — решение для максимум нищебродов, протыкаемое любым неосторожным движением.

Сетевую изоляцию нужно делать на уровне маршрутизации, не пуская софт из машины с браузером в сеть мимо тора в принципе. Т.е. чтобы вне зависимости от того, что будет делать браузер или софт вокруг него, оно не попало в сеть напрямую.

В tor для этого есть директива TransPort, которая открывает порт для прозрачного проксирования фаерволом.

>>3
> где посмотреть, через какие ноды идёт твой трафик?
Возьми nyx, он же бывший tor-arm. Он коннектится к tor'у через control socket и всё показывает.

>>4
Запускай nyx через ssh, либо разрешай удалённый доступ к control-сокету tor'а.
Anonymous No.6
>>5
>nyx
Ему питон нужен? У меня что-то не запускается. Может от того, что версия питана старая, я им не пользуюсь.
Anonymous No.7
>>6
apt show nyx
~ » apt show nyx
Package: nyx
Version: 2.0.4-5
Priority: optional
Section: oldlibs
Maintainer: Ulises Vitulli <dererk@debian.org>
Installed-Size: 297 kB
Depends: python3-stem (>= 1.6.0), python3:any (>= 3.6~)
Suggests: tor
Homepage: https://nyx.torproject.org
Tag: role::shared-lib
Download-Size: 66,5 kB
APT-Sources: http://ftp.ru.debian.org/debian buster/main amd64 Packages
Description: terminal status monitor for tor
The anonymizing relay monitor is a terminal status monitor for Tor relays,
intended for command-line aficionados, ssh connections, and anyone stuck with
a tty terminal. This works much like top does for system usage, providing real
time statistics for:
.
- bandwidth, cpu, and memory usage
- relay's current configuration
- logged events
- connection details (ip, hostname, fingerprint, and consensus data)
- etc.
.
nyx was previously named tor-arm (which is now a transitional package).
Anonymous No.8
>>7
>Depends: python3
А у меня вторая версия, поэтому значит.
Спасибо.
Anonymous No.12
1541303459400[...].png (24 KB, 362x542)
>>1 (OP)
>- Обновления автоматическии устанавливаются без каких-либо оповещений что даёт возможность встроить троян при компрометации организации, разрабатывающей браузер
Настройки открывал, дурачок? У меня спрашивает перед скачиванием и установкой обновления.
И вообще-то неатоматическое обновление тебя никак не спасёт от компрометации.

>- В версии 8.0 запрещено менять Tor Circuit
>>3
> Меня волнует другое: где посмотреть, через какие ноды идёт твой трафик? В Torbutton этого больше нет.
Пик. Вы что ознакомительный тур пропустили при обнове на 8? Или блогпост не смотрели? https://blog.torproject.org/new-release-tor-browser-80
Anonymous No.21
>>12
>Пик.
Как - то не заметил этого, лол. Благодарю.
Anonymous No.462
Почему у TOR новые адреса сделали длинными и не читаемыми? Вместо офигенно удобных коротких, которые еще и майнить можно.
Вот тут офигенный красивый адрес 2channel5xx5xchx.onion, легко запоминающийся, а с новым форматом было бы что-нибудь вроде ahdkx5ub6dtu7nvs3kqmoigcjdwap2a2zkx5zohb2yk7gqjkwoyotwbh.onion
Anonymous No.465
>>462
Адреса tor — это хэши ключей. Чем короче хэш, тем чаще коллизии. Коллизия адреса — возможность перехватить его обслуживание.

«Майнить» можно и новые адреса, только это более ресурсоёмкая задача. Каким софтом — не подскажу, не разбирался.
Anonymous No.466
>>6
>2к19
>не пользоваться ПМом который такую хуйню решал бы за тебя
Anonymous No.467
>>465
Новые адреса нельзя майнить на видеокартах. Я пробовал, старые у меня майнятся со скоростью 500MH/s, а новые всего 800KH/s, в несколько сотен раз медленнее.
Anonymous No.468
>>467
> нельзя
> 800KH/s
Здесь есть противоречие. И потом, скорости 800KH/s тебе не хватает чтобы сделать начиниющийся с нужных букв адрес?
Anonymous No.469
>>468
>Здесь есть противоречие.
Нет. Новые адреса нельзя майнить на видеокартах.
800KH/s - это на процессоре со 100% загрузкой четырех ядер.

>скорости 800KH/s тебе не хватает чтобы сделать начиниющийся с нужных букв адрес?
Ну да, для красивого адреса это очень и очень мало.
Anonymous No.471
>>469
> Новые адреса нельзя майнить на видеокартах.
Это обусловлено использованием какой-то операции, которую невыгодно использовать на ядрах GPU, или просто ещё не сделано реализации алгоритма хэширования на OpenCL или CUDA? Если второе, то твоё «нельзя» опять же делится на ноль.

Олсо, вместо слова «майнить» здесь корректнее использовать «брутить».
Anonymous No.472
>>471
Я не знаю, не вникал особо. Факт в том, что есть несколько программ и все они работают на процессоре. Может алгоритмы хеширования там применены, которые на видеокартах не эффективны, не знаю.

>Олсо, вместо слова «майнить» здесь корректнее использовать «брутить».
Да, да, почему-то устоялось именно такое обозначение, да и от истины на самом деле не далеко. Майнинг и есть брут.
Anonymous No.731
>>471
Второе. Не существует ничего, что нельзя было бы майнить на видяхах, тем более это отлично параллелится.
Anonymous No.837
Что есть кроме тора?
Anonymous No.838
>>837
I2P есть. Какая цель у тебя?
Anonymous No.839
>>838
Анонимизация, удобное использование, безопасность.
Anonymous No.856
>>839
i2p neoch v plane vsego etogo. Net brauzera - bolee unikalny fingerprint, i esche bolee unikalny potomu chto tam1,5 invlaida set' sostavlayet.
I esche suda dobavte to chto u i2p niet bridges, i to chto router bukvalno sam soobschaet drugim routeram kogda on online.
IMO sdeanonit' kogo-nibud v i2p smog by i obychnyj hui, bez vsyakovo oborudovaniya i botnetov, esli by zahotel. No eto ne kasaetsya tamoshnih torrenov.
Soryan za translit pishu s mikrovolnovki ne moey ne v russque
Anonymous No.941
Где-то читал, что поднятие tor relay node на своей пекарне увеличивает защиту от тайминг-атак при этом в случае постоянно работающей relay node ты вносишься в публичный список, что может ослабить безопасность с другой стороны.

Так вот, как это сделать? Если я подниму relay node, изменив настройки torrc своего тор браузера, то такая нода будет жить пока открыт браузер. Если я подниму relay node с помощью tor expert bundle, то подключаться к ней не получится с помощью tor browser, так? А если использовать ее для выхода в интернет с не-торбраузера, это будет неправильно, потому что юзерагент на сайтах будет отличаться от юзерагента торбраузера.
Anonymous No.942
>>837
Есть системы с сильной анонимностью. Гугл:
задача обедающих криптографов (принцип работы)
Dissent
Pri-Fi

[Назад] [Обновить тред] [Вверх] [Каталог] [ Автообновление ]
25 / 3 / 13

[Ответить в тред] Ответить в тред

Ответ в тред No.1
15000
Файлы. Макс объем: 20 MB, макс кол-во файлов: 4

Ответ в тред No.1X
15000
Файлы. Макс объем: 20 MB, макс кол-во файлов: 4
Кликни/Брось файл/ctrl-v
НастройкиX
X
Избранное
Топ тредов