Опубликован (https://blog.torproject.org/blog/tor-0289-released-important...) корректирующий выпуск инструментария Tor 0.2.8.9, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость (https://bugs.torproject.org/20384), которая позволяет удалённому атакующему инициировать крах скрытого сервиса, шлюза, узла авторизации или клиента Tor. Проблема вызвана некорректной обработкой данных, содержащих символы с нулевым кодом. Исправление также вошло в состав тестового выпуска 0.2.9.4-alpha (https://blog.torproject.org/blog/tor-0294-alpha-released-imp...).
URL: https://blog.torproject.org/blog/tor-0289-released-important...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45334
Tor полезен в наши темные времена, когда свобода слова и Конституция находятся под запретом, а за отстаивания своих прав тебя называют экстремистом. Можно вопрос слегка не по теме? DISQUS - система комментариев - те, кто встраивает ее на свой сайт, могут видеть IP комментирующих? Или эти IP доступны только владельцам DISQUS?
А что не так с Конституцией? Прочитайте её внимательно, вдумчиво. Именно то, что написано, а не то, что вы ожидаете прочитать...
Вас уже заминусовали, но всё таки отвечу. То, что происходит, не соответствует ни букве, ни духу Конституции. Впрочем, подмена понятий и фанатизм сейчас царствуют во всём мире.
Ещё раз объясните мне, почему Tor называют анонимной сетью после того, как Сноуден прямо сказал: "выходные ноды контролируются спецслужбами"?
Ты либо глуп, либо не понимаешь как работает сеть Tor. АНБ может контролировать 1-2% выходных нод, и это ничего не решает. Я в год поднимаю по 2-4 ноды (конечно физически они находятся в разных странах), и делаю таким образом сеть Tor более стойкой. Можно конечно поверить в байки, что АНБ поднимает по 100 нод в год, но очень сомнительно. Вообще почитай на досуге: https://geektimes.ru/post/277578/
что кроме ваших сомнений мешает АНБ поднимать по 100 нод в год?
> Можно конечно поверить в байки, что АНБ поднимает по 100 нод в год, но очень сомнительно.Угу, массовая слежка АНБшниками раньше тоже считалось байкой. Типа, ресурсов не хватит.
> curl -S https://check.torproject.org/exit-addresses | grep ExitAddress | wc -l
> 1150Всерьёз думаешь, что АНБ неосилит выделить каких-то 1000 серверов на нужды страны? Это же стоит жалкие копейки.
Впрочем, это всё касается только перехвата http-трафика обычных сайтов при работе через тор.
Тогда и я осилю сотню-две VPS'ок в год. Мне вообще не западло.
Тебе не западло, а у них финансирование из кармана самого влиятельного правительства в мире.
Потому что нет смысла ловить\модифицировать траффик на выходе при корректно настроенном клиенте, так как это не обличает источник траффика. От "встройки" какого нибудь JS защищает блокировка этого самого JS со стороны браузера.
Если тебе нужен сноуден чтобы понять что выходные ноды контролируются кем угодно, у меня плохие новости о твоих умственных способностях. Это как-бы by design. А сеть, прикинь, остаётся анонимной. Разжевать и в рот положить, или сам сходишь почитать документацию?
Ну-ну. А то, что тебе АНБ может эксплоит на блюдечке прислать не учитывается ?? Причем в случае АНБ мну верит и в jailbreak из виртуальной машины ...
С такой паранойей тебе вообще в интернет нельзя выходить.
Блюдечко через порт не пролезет.
Чегой то там о виртмашине?
> А то, что тебе АНБ может эксплоит на блюдечке прислать не учитывается ??Если Javascript отключить, то вероятность этого снизится на порядки.
> Причем в случае АНБ мну верит и в jailbreak из виртуальной машины ...Поэтому рекомендуется использовать Whonix на двух компах: на одном Whonix-Gateway (с доступом к интернету), на другом Whonix-Workstation (с KDE, браузером и доступом только к компу с Whonix-Gateway). Таким образом, attack surface сильно уменьшится. Добраться же до Gateway АНБ может благодаря эксплуатации TrustZone или Intel ME (которая использует JVM — attack surface немаленький), или сетевого интерфейса, или вообще самого Тора.
И сейчас песочницы никто не отменял, а в ближайшем будущем песочницы будут итегрированы в сам браузер (вкладка-песочница). Читаем блог torproject.org и mozilla
Whonix сила, это ты верно говоришь брат.
Верно нига.. есть еще Tails и Qubes
лучше OpenBSD использовать, в АНБэях всяких даже не знают, что это такоеа профессионалы - те только kolibrios
C whonix архитектурой - другая проблема: либо мы обновления на workstation качаем через tor и нам могут подсунуть модифицированный пакет( я считаю, что АНБ может завербовать мейнтейнера, или устроить ему негласный обыск установив программный или аппаратный кейлоггер и выкрасть ключ.) либо качаем без tor'a и подставляемся по полной.
Вариант - будем пользоваться live-cd и обновлять сразу образ, - не проходит поскольку на workstation тогда трудно заниматься разработкой да и любой осмысленной деятельностью отличной от серфинга/переписки...
К чему эти фантазии? Причем здесь whonix? Может придумать 100500 сюжетов как могут и что могут спецслужбы. Так же можно придумать не меньше контрдействий.
Простой Линукс вы как обновляете? Откуда образ берете для установки? Что значит заниматься разработкой и причем здесь АНБ? А любая осмысленная деятельность как ограничивается?
Есть сборки типа Tails, где вы можете заниматься своими делами, а в следующей сессии следов от предыдущей не останется..
Вообщем, к чему этот пассаж в сторону whonix?
Человек ленив и не хочет изучать вопрос, пусть живет в своим мирке. Зачем что-то доказывать таким? От этого он не станет менее ленив.
>Ещё раз объясните мне, почему Tor называют анонимной сетью после того, как Сноуден прямо сказал: "выходные ноды контролируются спецслужбами"?ну так ослоуден не является истиной в последней инстанции, у него уровень где-то ОБС+
Дос-уязвимость в Tor. Генерал Фейлор всё-таки прочитает наши диски. Аборт/ретри/игнор?
побежал перечитывать фидошные истории про командира нортона :)
у меня tor-0.2.8.6 Заранее извиняюсь может быть просто нагнетаю обстановку (о выше перечитанных постах), но такая проблема. После старта тор евойный DNS ресольвер разрешает имена не в такие IP которые разрешаются внешним DNS провайдером. Поэтому отказался запихнул этот ресольвер вторым. Например tor-resolve pkg.cdn.pcbsd.org = 89.233.107.230, но иногда другие IP. Меняю цепочку до тех пор пока не начинают соответствовать. Я не специалист просто подозреваю это переход на новую библиотеку SSL. Может кто нибудь просветит меня в этом вопросе? И возможно просто подождать переход на более свежую версию и не парится вопросом.