OpenForum RSS: Результаты второго аудита безопасности разработок проекта Tor https://www.opennet.ru/openforum/vsluhforumID3/132720.html Разработчики анонимной сети Tor опубликовали результаты второго аудита, который был проведён компанией Radically Open Security с апреля по август 2023 года (до этого с ноября 2022 года по апрель 2023 года компанией Cure53 проводился первый аудит). Проверка затронула код для обеспечения работы выходных узлов, браузер Tor Browser, компоненты инфраструктуры (сбор метрик, SWBS, API Onionoo) и утилиты для тестирования. Основной задачей повторной проверки была оценка изменений, внесённых для повышения скорости и надёжности сети Tor, таких как добавленный в выпуске Tor 0.4.8 протокол разделения трафика Conflux и методы защиты Onion-сервисов от DoS-атак на основе доказательства выполнения работы...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60522<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#103 Thu, 01 Feb 2024 16:02:05 GMT Им просто финансирование нужно осваивать. Иначе зачем им деньги давать, если все и так надежно работает? Потом начнут на что-то еще переписывать.<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#102 Thu, 01 Feb 2024 15:58:25 GMT &gt;We plan to maintain and support the C Tor implementation until Arti is a viable replacement for the vast majority of use cases.<br><br>То есть навсегда. Фух, можно выдохнуть... У напичканной закладками NSA версии на Rust всегда будет альтернатива на божественной Сишечке.<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#101 Wed, 31 Jan 2024 19:51:24 GMT &gt;скорей всего там сидит крот<br><br>И оплачивают его:<br>- DARPA<br>- U.S. Department of State Bureau of Democracy, Human Rights, and Labor<br>- Federal Foreign Office of Germany<br>- Ford Foundation<br>- Freedom of the Press Foundation<br>- Naval Research Laboratory<br>- Google<br>......<br><br>https://www.torproject.org/ru/about/sponsors/<br> Результаты второго аудита безопасности разработок проекта To... (n00by) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#100 Wed, 31 Jan 2024 13:48:23 GMT В такое я не верю. Лично у меня систематическая ошибка при переписывании с асма на ЯВУ, это проморгать какой-то переход. Причина в том, что всё однообразно, отчего глаз замыливается. Одно дело, если бы задачей стояло проникновение, тогда да, возможно - спец в этом деле поищет знакомые паттерны, где-то копнёт поглубже, если что-то найдёт, задача решена. Тут задача дать некую гарантию, что ошибок нет, а "не нашёл" на неё не тенет. Если же взять сканер, то можно отчитаться "вот такие атаки оказались безуспешны".<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#99 Wed, 31 Jan 2024 11:00:09 GMT &gt;из России весь трафик направлялся через одну входную ноду<br><br>В РФ провайдеры негласно (РКН официально не запрещает TOR) блокируют входные ноды по списку открытого Tor Atlas. Вполне может быть, что эта входная нода - единственная из доступных у твоего провайдера. Просто пока не заблокирована.<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#98 Wed, 31 Jan 2024 10:46:34 GMT &gt;Каждый экземпляр TOR-клиента имеет локальную актуальную базу GeoIP:<br><br>Хорошо. Тогда вопрос: "Кто контроллирует сервер входной ноды во Франции?". Не думаю, что это чувак-анархист, скорей всего там сидит крот.<br><br>&gt;Чего тебя так волнует входная нода?<br><br>При смене "идентичности" вся цепочка, в том числе и входная нода должны изменятся. Но в данном случае IP входной ноды оставался прежним. Заметил факт - из России весь трафик направлялся через одну входную ноду.<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#97 Wed, 31 Jan 2024 10:13:56 GMT &gt;Зачем вообще ходить куда-то по голому хттп?<br><br>В случае TOR вариантов нет.<br>Facebook, Twitter, Reddit, ProtonMail, DuckDuckGo, Debian и т.п. могут себе позволить получить сертификат на домен .onion для HTTPS.<br>А как думаешь, найдется хоть один CA, который выпишет сертификат, например, для маркетов (чтоб им сдохнуть!) в даркнете?<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#96 Wed, 31 Jan 2024 09:56:56 GMT &gt; А разве сам факт подключения к анонимной враждебной сети не будет уже флажком для майоров?<br><br>Конечно является.<br><br>&gt; Зачем вообще ходить куда-то по голому хттп?<br><br>Потому что в мире есть отбитые, которое кричат, что https это заговор государства и/или корпов. И делают сайты http only.<br>Но к таким лучше не ходить ни по http, ни по https.<br> Результаты второго аудита безопасности разработок проекта To... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/132720.html#95 Wed, 31 Jan 2024 09:43:32 GMT &gt; На ней можно определить ТОЛЬКО адрес откуда осуществляется вход в TOR<br><br>А разве сам факт подключения к анонимной враждебной сети не будет уже флажком для майоров?<br><br>&gt; В случае незашифрованного HTTP<br><br>Но.. но зачем?<br>Зачем вообще ходить куда-то по голому хттп?<br>