FAQ по форуму

[slowpoke]Там еще есть список плагинов, версия плагинов, платформа(ОС)[/slowpoke]

?!

С помощью CSS сейчас по словам разработчиков Tor можно узнать чуть ли не больше, вы CSS тоже "отключаете"?

Неточно выразился. Попробую перефразировать.

Я использую VPN, к примеру. Это не говорит о том, что я торгую стволами, может быть я таким образом объединяю компы в локалку. Информация об запрете JS не говорит о том, что я занимаюсь чем то противозаконным. Я могу сидеть с рабочего компа, мне админ запрещает JS. Атата, говорит. Или я с телефона сижу, со своей древней нокии, мне норм.

Пользователя можно выделить по профилю браузера, это гораздо проще, чем использовать разделение на тех, кто использует JS, и тех, кто его не использует.
Типа как разделять людей на черных и латиносов. Проще обозначить, что нас интересует мужчина, старше трицатипяти лет, со стертой подошвой на левом ботинке, который любит морковную запеканку.

Спорное утверждение. Можно определить по поддерживаемым свойствам(тот же transition, всякие хаки для ие) некоторые параметры браузера. Ребята из freedom hosting(которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере) передают привет. Сам подход исполнения кода на клиентской машине - провал.
CSS не может динамически изменять DOM и пихать http реквесты.

Редактировался anshlag (2014-05-20 12 ч.)

Это говорит о том, что вы не используете JS. Точка. Эта информация идет плюсом к той, что на вас ищут, будут искать или уже нашли.

Что за профиль браузера и откуда он возьмется? Использование JS - это (деанонимизирующая) информация о пользователе, она может быть и бесполезна, а может стать решающей "уликой".

Ну да. Спорит некто anshlag с Runion и разработчики Tor...

Вы сначала матчасть подучите, а потом фактическим материалом "козыряйте". Сначала вычислили местонахождение серверов, а уж потом, в конце операции, внедрили древний зловред, чтобы поймать рядовых педофилов и админов соответствующих ресурсов.

Очередное утверждение, взятое из воздуха.

Этим векторы атак не заканчиваются, как ни странно.

Я отключил JS. Мама, ама криминал. Пативены мчатся.

Вся информация, об используемом браузере и среде, в которой он запускается. Вот это можно было бы пришить как косвенную улику, если у меня на компе найдут браузер, который оставляет такой же след(ок, профиль), как и браузер злоумышленника. А если у злоумышленника и у меня отключен JS это НИ О ЧЕМ НЕ ГОВОРИТ. "Грабитель тоже был черный!"

Я не спорил с разработчиками Тор, я спорил с вашим утверждением, не надо вменять мне то, чего я не говорил.

Высказывание разработчиков Tor  или TBB? Что значит

Намного более лучше?
Пруф, пожалуйста.

Стесняюсь спросить, вы свечку держали?
Не переходите на личности, матчасть и факты это разные вещи. Вы предъявляете претензии касатльно фактов, но не относительно метода, аргументируйте свою позицию. По существу вы написали то же самое.

Как там дело было - никто не знает, в сети разная инфа. Я считаю что моя версия правдоподобна.

Да, сначала вычислили сервера. Я этого не отрицал. Разговор был про конкретных людей которые сидят, из за того что у них в TBB был включен JS.

Пруфы:
https://www.wired.com/2013/09/freedom-hosting-fbi/
https://arstechnica.com/security/2013/08 … tor-users/
Жду пруфов вашей версии.

Аргументируйте свою позицию.

Редактировался anshlag (2014-05-20 13 ч.)

anshlag,  Забыл самое главное, в Этой стране презумция невиновности неработает, и придется самому доказывать что грабитель тоже был черным.

bdfy, про это я в курсе.
Я пытаюсь объяснить, что это(включен JS или нет) такая же компроментирующая информация, как и то, что меня и злоумышленника установлена винда. Или то что злоумышленник и я - мужчины.

Думайте как хотите, даже если это дебилизм чистой воды.

Мастер демагогии? Вы процитировали мою фразу, в которой я приводил утверждение разработчиков Tor, и написали "Спорно". Теперь вы говорите, что это относилось к каким-то моим якобы утверждениям.

Зачем? Что изменится, если я найду точную цитату? Это утверждение было в рассылке или еще где-то, на это нужно время тратить, и хотелось бы знать, зачем.

Присутствовал и наблюдал это все со стороны своего Tor Browser. И зловред, и крики педофильских админов, и непонятное поведение ресурсов на FH, и даже тему тут на форуме.

Да вы что. Это же так важно, надо обсудить. Расскажите подробнее.

Адепты Культа Карго тоже считают, что правы.

Для вменяемых же людей есть официальный FAQ от Tor Project, где черным по белому написано

P.S.

Конкретную цитату, пожалуйста предоставьте в доказательство того, что "Ребята из freedom hosting (которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере) передают привет"

Редактировался Vald (2014-05-20 13 ч.)

Если дело дошло до Культа Карго - то всё плохо, уверен
А по факту: выключил - и тебя подозревают, оставил включённым - и тебя подозревают по другим признакам, но ещё и способов к деанону прибавляется. Я для себя это так вижу, но не претендую на категорический императив.

Я свою позцицию хотя бы аргументировал

Именно так. Вы не приводили утверждение разработчиков Tor, вы привели ваше понимание той фразы.

Что изменится? Вы подменяете понятия, пытаетесь поставить мое мнение в противовес мнению более авторитетных людей. Хотя, повторюсь, я спорил именно с вашим утверждением, не надо приплетать сюда разработчиков Tor. Думаю пруфов не будет.

Приведенная вами цитата подтверждает мою правоту Еще один аргумент в пользу пруфа оригинальной фразы, из которой вы сделали вывод о том,

Думаю там был несколько иной смысл.

Итак, вернемся к простыне аглицкого текста.

On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities ( not just a theoretical concern!).

С другой стороны, мы должны отключить JS по умолчанию, для лучшей защиты против уязвимостей браузера(не только теоретическое беспокойство!)

И дальше, та часть, которую вы выделили жирным шрифтом, она подтверждает мою правоту :

websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

вебсайты могут легко определить, включен ли у вас для них JS, и ЕСЛИ ВЫ ВЫКЛЮЧАЕТЕ JS ПО УМОЛЧАНИЮ, НО ПОТОМ РАЗРЕШАЕТЕ НЕКОТОРЫМ ВЕБСАЙТАМ ЗАПУСКАТЬ СКРИПТЫ(большинство людей используют NoScript), ТОГДА ВАШ ВЫБОР "БЕЛОГО СПИСКА" ВЕБСАЙТОВ(для которых включен JS) ВЫСТУПАЕТ В РОЛИ СВОЕГО РОДА ПЕЧЕНЬЯ, КОТОРОЕ ДЕЛАЕТ ВАС УЗНАВАЕМЫМ И РАЗЛИЧИМЫМ, ТЕМ САМЫМ НАНОСЯ ВРЕД ВАШЕЙ АНОНИМНОСТИ.

Пруфы:

Я готов продолжать дискуссию, без эмоций и перехода на личности, думаю для людей в теме она покажется интересной. Я сознательно не отвечаю на ваши шпильки.

Да-да, конечно. А напечатанные символы в рассылке говорят о понимании фразы моим компьютером, им тоже нельзя верить.

Ну мне тогда больше нечего сказать.

Там нет ни слова о том, что "ребят из FH словили с помощью дыры в JS".

Надмозги довольны, хех. А так - да, перевод anshlag'а почти по тексту.

Касательно безопасности: браузер с JS уязвимей чем без JS, где-то 80% эксплоитов используют js для заполнения памяти шеллкодом, даже если сама дыра в совершенно другом месте. Но отключение JS не панацея от эксплоитов, бывали эпичные переполнения в обработчиках картинок.
Касательно анонимности: TBB поддерживает однокнопочное выключение JS из коробки, значит нет большой разницы, но все-же предпочтительнее настройки по-умолчанию.
И аргумент в пользу JS: без него сейчас крайне мало что работает. Его использование - необходимость.

Редактировался megamozG (2014-05-20 15 ч.)

Vald, приведенная вами ссылка подтверждает мою правоту относительно высокой степени анонимности при выключенном JS(об этом прямо говорится в рассылке), и относительно того, что вы неверно истолковали ответ разрабов, возможно просто не вчитывались. Я привык аргументировать свои слова, итак:

что практически все, что доступно для JS, также доступно для CSS И HTTP(видимо имеются ввиду HTTP-заголовки и что-то еще), даже если JS выключен.

Дополнительное количество информации, которое предоставляет JS после этих вещей(имеется ввиду CSS И HTTP(НЕ ПРОСТО CSS!) не существенно, если эти вещи правильно умерены(имеется ввиду правильный метод сбора инфы)

Отсюда не следует то, что

Именно с этим я и спорил. JS во много раз опаснее обычного CSS.

Идем дальше.

Тем не менее, выключение JS(все-или-ничего), вероятно не самый большой успех прямо сейчас, в нашим текущим количеством пользователей. Достаточно людей вероятно сделают это так(выключат JS), у вас все равно есть запас анонимности. Но, для демографической ситуации нашей пользовательской базы(надеюсь) станет легче использовать Toр, это станет все менее и менее правдиво.

Иными словами, они не отключают JS совсем потому что хомячкам нужны слайдеры и чятики.

Они будут иметь огромное количество "информационных отпечатков пальцев", основанных просто на тех скриптах которые вы выбираете для загрузки и запуска, если они внимательно посмотрят.
Смысл сводится к тому, что или JS надо отключать в браузере совсем, никаких NoScript, или оставлять включенным, если вам все равно.

Я не хочу переводить построчно, но там говорится именно о том, что с помощью вредноносного кода в JS, который загружался когда пользователи серверов FH получали фейковое сообщение с ошибкой. Сам код юзал уязвимость в ФФ, при помощи которой можно было получить реальный айпишник, который пробили у провайдера. Все, сгущенка.

UPD: да, переводчик из меня еще тот, но смысл я думаю я уловил.
megamozg, не соглашусь. При желании, все можно реализовать без JS. Может быть не так изящно, однако если на первом месте безопасность и анонимность - надо обходиться без JS, отключать картинки, даже CSS(спасибо Vald за идею). Голая html-разметка(без стилей) вполне годится для чтения и передачи информации.

Редактировался anshlag (2014-05-20 16 ч.)

Забыли добавить, что еще и с помощью электричества, а не просто HTTP и CSS.

Это просто 

Вы правы, не стоит, читатели с глазами и знанием английского уже давно все поняли.

Я с вами закончил.

Vald, мне импонирует ваше внимание к моей скромной персоне. Я вполне могу чего-то не знать или ошибаться, я свою поцизию аргументировал, вы не стали. Вы никак не ответили на те аргументы, которые привел я.

Я не буду переходить на личности и устраивать срач. Думаю все все поняли, лично у меня к вам вопросов больше нету.

Тема годная, не хочется что бы она утонула в потоке флуда. Алсо с помощью flash можно было(можно и сейчас) невозбранно майнить биткоины, эффективность была не фонтан, зато сайт приносил реальный доход Использование сторонних плагинов и технологий - всегда риск и снижает степень анонимности.

Редактировался anshlag (2014-05-20 16 ч.)

Не преувеличивайте, мне даже ваше мнение не интересно, не то что ваша персона. Но то, что вы самоуверенно пытаетесь убедить окружающих в правильности ваших выводов и действий, может привести к печальным последствиям для неопытных пользователей, да и форуму чести не сделает. Так что я просто направил общий информационный поток этой темы по поводу JS в TB в конструктивное русло.

Проиграл вслух

Gapak,
Озвучишь свою версию, или крутые пацаны так не делают?

Алсо выключить JS совсем и разрешать JS для некоторых сайтов - это разные вещи, кому я это объясняю
Vald, разбирается том, о чем говорит, ты - нет.

Почему ты не цитируешь этот кусок?

Смотри что бы майкрософт 100% не узнал через какую exit ноду тора ты выходишь

Редактировался anshlag (2014-05-21 07 ч.)