https://www.opennet.me/openforum/vsluhforumID3/106563.html Один из исследователей безопасности обратил внимание (https://wireflaw.net/blog/apache-hidden-service-vuln.html) на беспечность администраторов скрытых сервисов Tor, использующих для обеспечения работы своих сайтов http-сервер Apache в конфигурации по умолчанию. <br><br><br>Большинство дистрибутивов Linux включает модуль mod_status, который позволяет при открытии служебной страницы /server-status посмотреть статистику обработки запросов. По умолчанию просмотр страницы /server-status разрешён только с локальной машины и доступен для запросов с адреса 127.0.0.1. <br><br><br>Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Е https://www.opennet.me/openforum/vsluhforumID3/106563.html#41 Fri, 05 Feb 2016 13:30:13 GMT tun/tap? Нет, не слышали.<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#40 Thu, 04 Feb 2016 18:42:32 GMT &gt; От намеренно дырявого тора ожидали чего-то другого?<br><br>Предложите альтернативу ?<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#39 Thu, 04 Feb 2016 18:40:50 GMT &gt;&gt;&gt;Проблема в том, что при организации работы скрытых сервисов, Tor привязывается к интерфейсу localhost и транслирует внешние запросы с адреса 127.0.0.1. Таким образом любое обращение к onion-домену приходит с адреса 127.0.0.1 и даёт возможность посмотреть статистику /server-status, в том числе узнать через неё список обрабатываемых http-сервером IP-адресов и отследить параметры запросов (например, выявить идентификаторы сеанса, передаваемые через URL). Если, вопреки рекомендациям по настройке работы сайта через Tor, сервер кроме localhost привязан ко внешним IP и обрабатывает запросы к ним, его адрес будет раскрыт.<br>&gt; Вот тебе и анонимный браузер! Как ни крути, а IP адрес все <br>&gt; равно узнаешь через передаваемые запросы, к которой привязана локальная машина!<br><br>Уровень подготовленности аудитории opennet растет от года к году. СпасибоШигоринуЗаЭто.<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#38 Thu, 04 Feb 2016 18:39:24 GMT Чукча не читатель, чукча писатель ?<br>Это позволяет увидеть в этой самой статистике внешний IP скрытого Tor-сервиса, если Апач слушает не только localhost. Что, собственно, полностью его компрометирует.<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#37 Thu, 04 Feb 2016 05:57:28 GMT Что такое половой возраст?<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#36 Wed, 03 Feb 2016 08:51:30 GMT #<br># Allow serverstatus reports generated by mod_status,<br># with the URL of http://servername/server-status<br># Change the ".example.com" to match your domain to enable.<br># <br>#&lt;Location /server-status&gt;<br># SetHandler server-status<br># Order deny,allow<br># Deny from all<br># Allow from .example.com<br>#&lt;/Location&gt;<br><br>где этот твой минимум, балаболка? среди модулей?<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#35 Wed, 03 Feb 2016 07:05:14 GMT Ну нельзя же быть спецом во всём. Вот анон не знает, что по-русски правильно "надеть".<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#34 Wed, 03 Feb 2016 03:50:46 GMT А пользователи не достигшие полового возраста nginx не ставят?<br> https://www.opennet.me/openforum/vsluhforumID3/106563.html#33 Wed, 03 Feb 2016 03:02:58 GMT Если речь именно про "модуль включен по-умолчанию", то это как минимум в rhel и debian, то есть с учетом производных получаем подавляющее большинство серверов.<br>