О безопасности создания онион-проектов.

О безопасности создания онион-проектов.

Чтобы создавать приложения в луковой сети необходимо понимать ее логику. Без этого можно совершить множество глупых ошибок. Ниже я распишу различные советы, которые я бы рекомендовал использовать при создании проекта в онион-сети.

1) Ошибкой будет использование Apache в качестве сервера со стандартными настройками. Он допускает смотреть страницу отладки с локальных адресов. /server-status
Но в торе и так все соединения приходят оттуда и соответственно это большой недочет.

2) Известные движки с их уязвимостями. Чем популярней движок, тем больше он имеет различных плагинов, настроек и всего такого, что вы можете просто не замечать. Из-за этого однажды ваш сайт может быть взломан. Просто потому, что вы пропустили какую-то уязвимость или же нашли новую. При создании же своего проекта с нуля вы будете полностью знать логику своего проекта. Да она может быть простой, но главное полное ее понимание. Также можно использовать простые движки, в которых вы полностью разбираетесь.

3) Прямые запросы в обычный интернет с сервера. Необходимо либо направлять все так же через тор, либо использовать впн на своем сервере. Но просто бездумный запуск впн вырубит вам возможность зайти через ssh. Поэтому предварительно надо настроить правила фаервалла.

Вместо иксов ваш внешний айпи-сервера.
ip rule add from x.x.x.x table 128

Вместо игреков ставим маску подсети. ethX - это ваш стандартный интерфейс для доступа к сети.
ip route add table 128 to y.y.y.y/y dev ethX

Z - это ваш обычный шлюз.
ip route add table 128 default via z.z.z.z

Посмотреть стандартные можно командой ip route.
И потом уже можно запускать впн например командой openvpn --config config.ovpn

4) Написание приложений без фильтрации данных форм, вводимых пользователями.
Отсюда следуют такие уязвимости, как xss,sql-инъекции. Любой ввод всегда нужно фильтровать. Доверие к пользователю чревато последствиями. В flask для этого можно использовать библиотеку wtforms с уже настроенными возможностями для безопасной фильтрации.

5) Настройка папок проекта должна быть с умом. Если вы каждой подпапке дадите права 777, то это вряд ли будет разумно. Злоумышленник сможет с легкостью посмотреть листинг ваших директорий, зная их названия.

6) Также вы можете не подключаться к вашему серверу напрямую, а использовать для этого также отдельный домен онион.
Для этого в torrc должны быть строчки
HiddenServiceDir /ваш/путь/до/домена
HiddenServicePort 22 127.0.0.1:22

И с помощью torsocks ssh [email protected] вы будете коннектиться к серверу безопасно и анонимно.

7) Подгрузка скриптов,файлов и прочего из обычной сети на тор-домене. Такого быть не должно.

8) Как и во всяком web-проекте не следует исключать варианта взлома вашего приложения и слива БД. Поэтому все пароли должны быть захешированы. Стойким алгоритмом. Я рекомендую использовать bcrypt.

9) Для защиты от ддоса обычно используют модуль javaскрипт-защиты.
https://habrahabr.ru/post/139931/
Также можно оптимизировать запросы. Убрать за капчи или создать тайм-ауты на критичные get,post запросы к БД.

Редактировался SleepWalker (2016-09-07 14 ч.)

А вот и новая статья месяца подъехала! Респект!

а какой веб сервер лучше использовать?

diamond, nginx, но могу ошибаться

Я нихуя не согласный. Надо сто раз подумать и прошерстить гугл, прежде чем браться за свой велосипед. Чисто поразвлекаться, заточить навыки еще покатит, но для продакшна нужно обязательно иметь команду или быть семи пядей во лбу, иначе аукнется потом кувалдой по башке.

И я не понял, зачем запросы сервака через впн пускать? Ты его или анонимно арендуешь, или пускаешь через тор, третьего не дано имхо.

И еще надо добавить настройки мускула, веб-серверов и прочих пэхэпэ, иначе как-то вяленько получается.

Имеются ввиду исходящие запросы именно от сервера, в случае если ты взаимодействуешь с обычной сетью. Получаешь что-то с помощью сторонних сервисов например.

Ну не совсем с нуля. Фреймворки там и прочее. Но все же так меньше шансов, что будет найдена неожиданная ошибка в сайте.

Ок сделаю потом добавления в статью.

Это я понял, нафиг здесь впн? Для сокрытия местонахождения не пойдет и вообще не очень надежно, да и еще перекостыливать все приходится. Или тебе пох, потому что через тор, или тебе пох, потому что анонимно приобрел, и можно напрямую коннектиться. А лучше все сразу.

Ну да все сразу. Но смысла в тор домене мало, если ты не стараешься скрывать местонахождение сервера. Да впн как пример. Через тор желательно также.

Тор просто может вызывать подозрения и мешать взаимодействию с внешними сервисами. Ошибки при работе с API, капчи,cloudflare.

Редактировался SleepWalker (2016-09-07 17 ч.)

Пара моментов.

Тор используют в основном нелегальные криминалы и параноики, поэтому можно и нужно апеллировать к безопасности по любому поводу.
Безопасность - и джаваскрипт не нужен, и не надо думать, использовать ли для фронтэнда реакт, ангуляр или эмбер какой-нибудь.
Безопасность - и можно поддерживать только один браузер, сэкономив время  и средства на кроссбраузерной верстке.

При использовании Тора, бутылочным горлышком на маршруте пользователь -> Тор -> ваш сервис будет именно сеть Тор (при правильной настройке сервера, конечно же). Поэтому было бы неплохо минифицировать и сжимать стили и html для ускорения отдачи. Кроме этого, весь спектр DDoS-атак теперь сжимается до T***** connection flood и HTTP flood. Эти атаки вполне можно парировать настройками сервера, в отличие от, например, интенсивной UDP flood-атаки, когда у вашего провайдера утилизируются все аплинки и ему остается только "занулроутить" ваш хост, который после этого конечно же станет недоступен из интернета.

Редактировался spurdo (2016-09-09 12 ч.)