Доступен (https://blog.torproject.org/blog/tor-browser-703-released) корректирующий релиз специализированного браузера Tor Browser 7.0.3 (https://www.torproject.org/projects/torbrowser.html.en), ориентированного на обеспечение анонимности, безопасности и приватности. Браузер построен на кодовой базе Firefox и отличается тем, что весь трафик перенаправляется только через сеть Tor. В выпуске устранена опасная уязвимость, позволяющая при открытии специально оформленного URL, напрямую обратиться к внешнему ресурсу с реального IP-адреса текущей системы.
Проблема затрагивает только Linux-дистрибутивы, в которых присутствует сервис GVfs (https://github.com/GNOME/gvfs) (GNOME Virtual file system) и используется библиотека GIO (https://developer.gnome.org/gio/stable/) (GNOME Input/Output). Код поддержки GVfs/GIO в Firefox допускает запуск системного обработчика URL (например, smb://, ssh:// и т.п.), при помощи которого может быть осуществлено обращение к ресурсам в обход настроек прокси, что даёт возможность через GIO совершить прямое соединение на внешний хост и деанонимизировать пользователя.Проблема не проявляется в дистрибутиве Tails, в сборке sandboxed-tor-browser (Tor Browser запускается в изолированном окружении) и в дистрибутиве Whonix (выход в сеть из производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов).
URL: https://blog.torproject.org/blog/tor-browser-703-released
Новость: http://www.opennet.ru/opennews/art.shtml?num=46936
Ага, зашибись, нефиг пользоваться тором с ненастроенным фаерволом.
Кстати, кто-нибудь знает как пустить виртуалку через Tor? Чтобы даже теоретической такой возможности не было. И чтобы пользоваться в виртуалке нормальным браузером, а не "Вы не можете смотреть это видео без флеш плеера", который в Тор Браузер установить нельзя.
скачать whonix gateway и поставить в виртуалке в качестве шлюза.
https://xmail.net/netmans
Инструкции
Инструкция по настройке прозрачной маршрутизации трафика debian-based операционной системы через tor
Инструкция по изолирующей маршрутизации трафика приложений гостеой операционной системы в VirtualBox через tor
1) На своём компе: ставь тор, ss -tulpan | grep 9050
2) Создай виртуалку без ната, чтобы там не было выхода в сеть. Проверь это.
3) На виртуалке: натрави "экскремент эксплорер", запущеный в ректалосе на socks5-proxy <шлюз виртуалки>:9050Жду комментов и конструктивного сра4а.
> 1) На своём компе: ставь тор, ss -tulpan | grep 9050
> 2) Создай виртуалку без ната, чтобы там не было выхода в сеть.
> Проверь это.
> 3) На виртуалке: натрави "экскремент эксплорер", запущеный в ректалосе на socks5-proxy
> <шлюз виртуалки>:9050
> Жду комментов и конструктивного сра4а.Зачем создавать ВМ без выхода в сеть? Причем здесь NAT? А если гость не Вин как запустить Эклсплорер, да еще в каком то ректалосе?
При создании виртуалки в вбоксе по умолчанию создаётся сеть за натом. В таком случае от тора толку не будет. С kvm - то же(user network). Нам же, нужна сеть НЕ за натом, из которой в интернет доступа не будет. Это нужно для того, чтобы браузер выходил только на запущеный на хосте tor-proxy.
А что, ректалос - не вин? Брагин с вами не согласен. И экскремент эксплорер там есть.
Уважаемый, пожалуйста не используйте свой "ректально извращенный" русский для описания. Спасибо
https://github.com/yurivict/vm-to-tor
Спасибо. Но там FreeBSD. Для GNU/Linux есть инструкция?
> который в Тор Браузер установить нельзяВообще-то можно. Кидаешь портейбл флеш в Tor Browser\Browser\browser\plugins, как в лисе и включаешь.
Внутри виртуалки сделайте вот так"Я использую tor с изоляцией в network namespace. Все приложения остаются на едине с veth интерфейсом, который слушает только 9050 в качестве socks-proxy. Если приложение хочет идти напрямую, то оно просто получает no route to host по причине отсутствия route'ов наружу любого вида.
В этих условиях никакой посторонний трафик не может уйти за пределы namespace, а если tor-node ляжет, то просто порвётся коннект и socks-proxy будет либо reset by peer, либо просто исчезнет veth интерфейс и приложение останется без сети. "
Смотря какую виртуальную.Самый простой способ будет: заделать network namespace в которую прибросить veth peer и wlan интерфейс. Запустить тор на veth в этом netns. Затем настроить MASQUERADE и прероутинг правила что то типа:
iptables -t nat -A PREROUTING -i vpeer0 -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -i vpeer0 -p tcp --syn -j REDIRECT --to-ports 9040
iptables -t nat -A PREROUTING -i vpeer0 -j DROP
Ну и зацепить veth в виртуалку--
Пишу с телефона, лень вставать и идти до компа чтобы написать нормально
локалку без роутинга в tap эффективнее, оно не может терять траф даже до того как сконфигурировано, хотя можно сочетать с veth-ами, бриджами, вланами и namespace-ами, главное в этом процессе - не спятить.
http://darkk.net.ru/redsocks/ в помощь
> Кстати, кто-нибудь знает как пустить виртуалку через Tor? Чтобы даже теоретической такой
> возможности не было.настрой сетку между вм и хостом как локалку без роутинга, на хосте прокс, тор или чего еще. роутинг на хосте между ифэйсами можешь выключить, чтобы наверняка. читай маны на настройку сети ОС и виртуализатора, придется подтянуть знания в сетях.
> И чтобы пользоваться в виртуалке нормальным браузером, а не "Вы не можете смотреть это видео без флеш плеера
в флэш тебе напхают неудалимых куков - и толку от тора тогда? еще по 20 дыр каждый раз чинят, так флеш могут хакнуть - ну и все, дальше видно все.
a set of scripts to start applications inside a linux namespace and automatically “Tor-ify” their network traffic
https://www.void.gr/kargig/blog/2016/12/12/firejail-with-tor.../
Ага.. Ну и как же его настроить? Запретить пакеты на указанные порты?
> Ага.. Ну и как же его настроить? Запретить пакеты на указанные порты?ребята, если вы задаете такие вопросы - пожалуйста, не пользуйтесь тором.
(вы забиваете тощие каналы выходных нод, а спрятаться по настоящему у вас все равно квалификации не хватит)все перечисленные тут "простые" способы требуют прямых рук, внимания к мелочам и какой-никакой квалификации (в частности, непохоже, чтобы авторы приведенных тут готовых рецептов догадывались, что отсутствие default route вовсе не означает что я не могу отправить пакет, который уйдет в сеть или пакет, который вернется мне с real ip хоста - во всяком случае, в линуксе. Если для вас это стало сюрпризом - вы _недостаточно_ квалифицированы, чтобы надежно защитить свой тор от деанонимизации. А авторы тор-браузера поумелее вас, и, как видите, все равно иногда ошибаются.)
остается из готового только whonix и предложенный кем-то левый скрипт для freebsd (требующий распоследней версии пихона, патча ядра и еще кой-чего, то есть пока убедишься что он безобидный - уже свой такой успеешь написать) - и тут вы целиком зависите уже не только от аккуратности авторов тора и торбраузера, но и от аккуратности и отсутствия злой воли авторов прокладки.
> Проблема затрагивает только Linux-дистрибутивы, в которых присутствует сервис GVfs (GNOME Virtual file system) и используется библиотека GIO (GNOME Input/Output)Как знал! Вот мой конфиг:
--enable-application=browser --host=x86_64-pc-linux-gnu --build=x86_64-pc-linux-gnu '--enable-optimize=-Os -march=x86-64' --enable-official-branding --disable-tor-browser-update --disable-update-packaging --enable-signmar --enable-verify-mar --enable-strip --enable-install-strip --disable-tests --disable-mochitest --disable-debug --disable-maintenance-service --disable-crashreporter --disable-webrtc --disable-eme --disable-loop --disable-installer --disable-gconf --disable-gio --disable-pulseaudio --disable-gstreamer --disable-updater --disable-libjpeg-turbo --enable-skia --with-system-zlib --with-system-bz2 --with-pthreads --disable-xinerama --disable-xprint --enable-pango --enable-svg --enable-canvas --disable-javaxpcom --without-system-nspr --without-system-nss --disable-system-hunspell --disable-libnotify --disable-startup-notification --disable-dbus --disable-cpp-exceptions --disable-exact-rooting --disable-necko-wifi
Хотя я, наверное, единственный в мире человек, который собирает себе Tor Browser сам, а не берёт готовую официальную сборку.
Вы себе льстите
Обновления безопасности чуть ли не каждую неделю выпускают. Каждую неделю заново собираешь?
Нет. Я пока "не осилил" сборку следующего LTS. Пользуюсь пока 45.0.9, не критично
>> Каждую неделю заново собираешь?А то и пару раз в день. А что?
> Обновления безопасности чуть ли не каждую неделю выпускают. Каждую неделю заново собираешь?Нам, гентушникам, один хрен: что патчи подтаскивать, что сорцы растаскивать.
По кастомной сборке проще отлавливать. ;-)
> По кастомной сборке проще отлавливать. ;-)Да, но я не занимаюсь запрещённым. Только в социалочки захожу, приняв меры предосторожности, чтобы не "посадили" за репост. Такие как скрывание реального IP и не выкладывание личных данных (имя и фото).
> я не занимаюсь запрещённым
> чтобы не "посадили" за репост.как же у тебя в голове уживаются два взаимоисключающих понятия?
Правильно уживаются, кстати - есть запрещённое и "запрещённое". Товарищ прикрывается ровно настолько, чтобы его с кондачка не нашли. А всерьёз из-за таких мелочей никто копать не будет.
http://cs.pikabu.ru/post_img/2013/12/23/9/1387807248_7638575...
Ого, выходит не зря я установку этого gvfs запретил в пакетном менеджере. Хоть gnome и не пользуюсь, какая-нибудь программа так и норовит зачем-то притащить это в систему, хотя и без него все работает.
Кстати, а гуглоаналитику из тор-браузера удалили?
Тоже любопытно ))
> Кстати, а гуглоаналитику из тор-браузера удалили?Патчи то слабо посмотреть?
> Кстати, а гуглоаналитику из тор-браузера удалили?да: https://gitweb.torproject.org/tor-browser.git/commit/browser...
Как всегда дырявый гном виноват. Вспомните их gnome-thumbnails, или как его там. То фейл с комикс-форматом, то с MSI, теперь это...
gnome-thumbnails не их, а тут вообще уязвимость огнелиса.
> Проблема затрагивает только Linux-дистрибутивы, в которых присутствует сервис GVfs (GNOME Virtual file system) и используется библиотека GIO (GNOME Input/Output).
> GNOME Virtual file system, GNOME Input/OutputНовость не читай, комментарии пиши.
Зато хипсторам нравится!
> Проблема затрагивает только Linux-дистрибутивы, в которых
> присутствует сервис GVfs (GNOME Virtual file system)эти ваши линуксы с гномами то ещё ведро дырявое
> эти ваши линуксы с гномами то ещё ведро дырявоепокажи что-нибудь лучше, чудак.
Users on Windows and macOS are not affected and stay on Tor Browser 7.0.2.