Tor Browser Bundle

Тема по настройкам, новостям и прочим вещам, связанным с TBB.

Скачать можно здесь и здесь (не забудьте выбрать язык).

Главное правило использования: каждая нестандартная настройка повышает риск обнаружения. Mike Perry, главный разработчик TBB, как-то изрек в рассылке:

Что в вольном переводе звучит как "Ставлю все деньги на то, что если мы и увидим когда-нибудь заголовки об компрометации Tor, то причиной этому будет нестандартная или устаревшая конфигурация". Т.е. все, что нужно неуверенному и неподготовленному пользователю - просто скачать и пользоваться Tor Browser Bundle, не меняя настроек и не устанавливая дополнений. "Продвинутые" же и особо любопытные должны понимать всю ответственность, что они берут на себя, "подгоняя" TBB под свои нужды.

Внимание! Обнаружена серьезная уязвимость Tor Browser Bundle!

Каков бы ни был риск, некоторые нестандартные настройки могут повысить вашу безопасность. Как, например, использование определенных правил и политик фаерволла в *nix помогли бы обезопасить вас от этой серьезной утечки, о которой стало известно недавно:
Firefox security bug (proxy-bypass) in current TBBs

Уязвимость заключается в том, что при соединении со службой websockets (современная технология, использующаяся на некоторых сайтах), DNS-запросы идут мимо SOCKS-прокси (Tor), напрямую на локальный DNS. Практически это означает, что, к примеру, провайдер будет знать, какой именно сайт вы посещали. NB: только адрес, а не передаваемые данные.

Для устранения уязвимости необходимо отключить службу websockets. Для этого наберите в адресной строке "about:config", в появившейся ниже строке поиска наберите "websocket", двойным нажатием на строку "network.websocket.enabled" переведите значение в "false".

Более серьезная заплатка уже подготовлена и вероятно в скором времени будет выпущена новая версия Tor Browser Bundle. Подробнее: багтрекер Tor Project, багтрекер Mozilla.

Вышла исправленная версия, всем настоятельно рекомендуется ее скачать
https://www.torproject.org/download/download

Мне порядком надоела уверенность и непогрешимость некоторых комментаторов по поводу их мнения о JavaScript. Если кто не в курсе, некоторые особо параноидальные личности думают, что если сайт использует JS - то он является совместной разработкой ФСБ и Моссада как минимум. И наоборот, что если выключить JS полностью, любой может продавать героин тоннами без риска быть пойманным ЦРУ. Причем довольно часто утверждающие это умудряются путать JavaScript и Java 

Лично я не собираюсь никого переубеждать. Но тут недавно, читая рассылку Tor, наткнулся на мнение некоего Mike Perry, не много не мало создателя TorButton и разработчика Tor Browser. Вот некоторые вырванные из контекста для промывания мозгов выдержки:

Вольный перевод: "практически вся информация, которая может стать доступной через JavaScript, также доступна через CSS и HTTP, даже если JS выключен. Включая информацию по шрифтам, разрешению экрана и браузера, идентификаторам из кэша и возможно еще кое-что".

Вольный перевод: "отключение всевозможного мусора - это просто огромный риск по отношению к тебе, если за тебя возьмутся всерьез. К примеру, ты не сможешь анонимно использовать два разных аккаунта на одном и том же сервисе, если ты включил блокировку сторонних скриптов с помощью NoScript. Если ты кому-то интересен, у них будет достаточно идентификационных данных: они просто соотнесут, какие скрипты ты скачиваешь, а какие - нет".

Вольный перевод: "У нас достаточно научных расчетов и математических доказательств для того, чтобы совершенно четко сказать: чем больше людей использует Tor, тем выше анонимность и тем сложнее анализ траффика. Лично я хочу сагитировать всю базу пользователей функции "Do Not Track" от Mozilla, которая составляет примерно 12,5 миллионов человек. И я уверен, что мы не сможем убедить тех людей перейти на Tor Browser, если JS будет выключен по умолчанию".

Ну вы поняли.
Источник, второй

Все VM от любых разработчиков? все оси? все не оси? 12/12?

T1, ты о чем?

Javascript is effectively a VM which is now fully under our control.
может не так понял.

Редактировался T1 (2012-05-22 21 ч.)

Наверное. Он говорит, что JS по сути - виртуальная машина, которая полностью под их контролем.

Но если в Tor Browser запилили NoScrypt, то не просто так же?

Для параноиков и "энтузиастов".

Ну-ну... 

Да-а, знатно обосрались Впрочем, пользоваться виндой и надеяться на безопасность глупо.

Для тех, кто в танке: в windows-версиях TBB с помощью JS можно было раскрыть полный путь до приложения. В совсем запущенном случае в пути может быть имя пользователя с вытекающими отсюда последствиями.

Всем windows-пользователям необходимо обновиться минимум до версии 2.2.35-13.

P.S. Круче всего то, что в официальном firefox-e такой уязвимости нет 

Хочу добавить небольшую инструкцию от себя;) как некое дополнение к Вашим записям

Иннструкция по установке и настройке Тор v2.2.37-1 (для Windows).

1) Скачиваем Тор Bundle с оффициального сайта torproject.org и устанавливаем его (распаковываем).

2) Переходим в папку с установленным Тор - "Диск":\Tor Browser\FirefoxPortable\ - и открываем для редактирования файл FirefoxPortable.ini
В нём находим строчку DisableIntelligentStart=false и меняем false на true (полчается DisableIntelligentStart=true). Сохраняем.

3) Переходим в "Диск":\Tor Browser\Data\Tor\ и открываем для редактирования файл torcc. В конце прописываем:

ExcludeNodes {RU},{UA},{BY},{SU}
ExcludeExitNodes {RU},{UA},{BY},{SU}

Сохраняем. (Это исключит из использования расеянские, українські, беларускі и совковые ретрансляторы)

4) Запускаем Start Tor Browser.exe, открываем настройки (Settings), прописываем, если необходимо, прокси, мост (если провайдер блокирует Тор), меняем язык на Русский.

5) В открывшемся Firefox во вкладке Add-ons удаляем/выключаем все плагины (если они появились) и идём в настройки:

а) Вкладка Content - снимаем галочку с Enable JavaScript (отключаем Java).

б) Вкладка Privacy - снимаем галочку с Accept cookies frome sites (отключаем cookie)

6) В адресной строке вводим about:config и соглашаемся на предупреждение. Меняем параметр, чтобы он выглядел как ниже:

security.xpconnect.plugin.unrestricted=false

7) Открываем Add-ons и устанавливаем необходимые плагины:

а) RefControl
б) RequestPolicy
в) User Agent Switcher
г) Adblock Plus, Adblock Plus Pop-up Addon, Element Hiding Helper foк Adblock Plus

Перезапускаем.

8) Настраиваем плагины (окно Add-ons, у каждого плагина кнопка Options):

а) RefControl (отсылает сайту левую инфоромацию о том откуда вы пришли)
Внизу нажимаем кнопку Edit, отмечаем кружочек напротив Forge - send the root of this site (https://SITE/), OK.

б) RequestPolicy (блокирует межсайтовые запросы)
Вкладка Genegal, омечаем кружочек Full domain, далее Open initial setup tool, везде ставим галочки и ОК.

в) User Agent Switcher (лжёт о вашем браузере и ОС)
Кнопка "Import...", выбираем файл, что я приложил (useragentswitcher.xml).

9) Закрываем приложение. Идем в папку "Диск":\Tor Browser\FirefoxPortable\, открываем для редактирования файл FirefoxPortable.ini, ищем строку RunLocally и меняем false на true (RunLocally=true).

В общем всё. Настраиваем внешний вид под себя и пользуемся.

По словам разработчиков, это ведет к риску деанонимизации. "Глобальный наблюдатель" будет иметь дополнительную информацию типа "а вот этот товарищ никогда не использует выходные ноды в таких-то странах". С другой стороны, более реальна угроза сопоставления информации на "входе" у провайдера и на злонамеренном "выходе".

За этим следит TorButton. Плагины не будут работать, даже если "включены"

Это еще зачем? Это сломает половину сайтов

Это доломает оставшуюся половину...

Не плагины, а дополнения. И разработчики не рекомендуют ставить какие-либо дополнения вообще, кроме тех, которые уже есть в TBB.

User Agent в идеале должен быть одинаковым у всех, чтобы не выделяться. Тем, который предустановлен изначально в Tor browser.

И почему все на английском? Есть же русская версия.

Короче, по большей части вредная инструкция 

Инструкция была взята с форума НС ВП, и ранее пользована мной, о её вредоносности точно сказать немогу, ибо всё работает и по сей день исправно. Agent Switcher   какжется оч полезная штука)считаю. Только как понять что он должен быть одинаковым у всех?недогнал маненько

Александр пишет:

    RefControl (отсылает сайту левую инфоромацию о том откуда вы пришли)
    Внизу нажимаем кнопку Edit, отмечаем кружочек напротив Forge - send the root of this site (https://SITE/), OK.

Это доломает оставшуюся половину...

Почему доломает?

Александр, я так и понял, что это инструкция написана теми, кто не дружит с головой информационной безопасностью.

Ну Internet Explorer тоже работает исправно, только к безопасности все это отношения не имеет.

Для анонимности у всех пользователей Tor должен быть одинаковый User Agent.

Потому что многие сайты проверяют реферер и без правильного работают некорректно.

Вообще, вместо вопросов, возьми и сам настрой все так, как ты написал, и попробуй полазить по сети. Я больше не буду доказывать, что статья безграмотная и вредная.

А если есть необходимость постоянно выходить через ноды какой-нибудь одной страны, то какую страну лучше выбрать, кто как думает? Всё-таки выбрать какой-нибудь Гондурас или тру-правовое государство типа Финляндии?

Сейчас также всё гастроено как Я писал, плюс твоя настройка всё исправно.

Не представляю, с чего вдруг появится такая необходимость, поэтому ничего порекомендовать не могу.

Если бы ты выключил JavaScript и cookies, то ты сюда бы не вошел.