FAQ по форуму

FAQ по форуму  

  By: anshlag on 2014-05-20 11 ч.

Re: FAQ по форуму

[slowpoke]Там еще есть список плагинов, версия плагинов, платформа(ОС)[/slowpoke]

FAQ по форуму  

  By: Vald on 2014-05-20 11 ч.

Re: FAQ по форуму

anshlag пишет:

Но информация, использую ли я JS или не использую, вообще ни о чем не говорит.

?!

anshlag пишет:

С помощью JS можно

С помощью CSS сейчас по словам разработчиков Tor можно узнать чуть ли не больше, вы CSS тоже "отключаете"?

FAQ по форуму  

  By: anshlag on 2014-05-20 12 ч.

Re: FAQ по форуму

?!

Неточно выразился. Попробую перефразировать.

Я использую VPN, к примеру. Это не говорит о том, что я торгую стволами, может быть я таким образом объединяю компы в локалку. Информация об запрете JS не говорит о том, что я занимаюсь чем то противозаконным. Я могу сидеть с рабочего компа, мне админ запрещает JS. Атата, говорит. Или я с телефона сижу, со своей древней нокии, мне норм.

Пользователя можно выделить по профилю браузера, это гораздо проще, чем использовать разделение на тех, кто использует JS, и тех, кто его не использует.
Типа как разделять людей на черных и латиносов. Проще обозначить, что нас интересует мужчина, старше трицатипяти лет, со стертой подошвой на левом ботинке, который любит морковную запеканку.

С помощью CSS сейчас по словам разработчиков Tor можно узнать чуть ли не больше, вы CSS тоже "отключаете"?

Спорное утверждение. Можно определить по поддерживаемым свойствам(тот же transition, всякие хаки для ие) некоторые параметры браузера. Ребята из freedom hosting(которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере) передают привет. Сам подход исполнения кода на клиентской машине - провал.
CSS не может динамически изменять DOM и пихать http реквесты.

Редактировался anshlag (2014-05-20 12 ч.)

FAQ по форуму  

  By: Vald on 2014-05-20 13 ч.

Re: FAQ по форуму

anshlag пишет:

Это не говорит о том

Это говорит о том, что вы не используете JS. Точка. Эта информация идет плюсом к той, что на вас ищут, будут искать или уже нашли.

anshlag пишет:

Пользователя можно выделить по профилю браузера, это гораздо проще, чем использовать разделение на тех, кто использует JS, и тех, кто его не использует.

Что за профиль браузера и откуда он возьмется? Использование JS - это (деанонимизирующая) информация о пользователе, она может быть и бесполезна, а может стать решающей "уликой".

anshlag пишет:

Спорное утверждение.

Ну да. Спорит некто anshlag с Runion и разработчики Tor...

anshlag пишет:

Ребята из freedom hosting(которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере) передают привет.

Вы сначала матчасть подучите, а потом фактическим материалом "козыряйте". Сначала вычислили местонахождение серверов, а уж потом, в конце операции, внедрили древний зловред, чтобы поймать рядовых педофилов и админов соответствующих ресурсов.

anshlag пишет:

Сам подход исполнения кода на клиентской машине - провал.

Очередное утверждение, взятое из воздуха.

anshlag пишет:

CSS не может динамически изменять DOM и пихать http реквесты.

Этим векторы атак не заканчиваются, как ни странно.

FAQ по форуму  

  By: anshlag on 2014-05-20 13 ч.

Re: FAQ по форуму

Это говорит о том, что вы не используете JS. Точка. Эта информация идет плюсом к той, что на вас ищут, будут искать или уже нашли.

Использование JS - это (деанонимизирующая) информация о пользователе, она может быть и бесполезна, а может стать решающей "уликой".

Я отключил JS. Мама, ама криминал. Пативены мчатся.

Что за профиль браузера и откуда он возьмется?

Вся информация, об используемом браузере и среде, в которой он запускается. Вот это можно было бы пришить как косвенную улику, если у меня на компе найдут браузер, который оставляет такой же след(ок, профиль), как и браузер злоумышленника. А если у злоумышленника и у меня отключен JS это НИ О ЧЕМ НЕ ГОВОРИТ. "Грабитель тоже был черный!"

Ну да. Спорит некто anshlag с Runion и разработчики Tor...

Я не спорил с разработчиками Тор, я спорил с вашим утверждением, не надо вменять мне то, чего я не говорил.

Высказывание разработчиков Tor  или TBB? Что значит

можно узнать чуть ли не больше

Намного более лучше?
Пруф, пожалуйста.

Вы сначала матчасть подучите

Стесняюсь спросить, вы свечку держали?
Не переходите на личности, матчасть и факты это разные вещи. Вы предъявляете претензии касатльно фактов, но не относительно метода, аргументируйте свою позицию. По существу вы написали то же самое.

Как там дело было - никто не знает, в сети разная инфа. Я считаю что моя версия правдоподобна.

Да, сначала вычислили сервера. Я этого не отрицал. Разговор был про конкретных людей которые сидят, из за того что у них в TBB был включен JS.

Ребята из freedom hosting(которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере)

Пруфы:
https://www.wired.com/2013/09/freedom-hosting-fbi/
https://arstechnica.com/security/2013/08 … tor-users/
Жду пруфов вашей версии.

anshlag пишет:

Сам подход исполнения кода на клиентской машине - провал.

Vald пишет:

Очередное утверждение, взятое из воздуха.

Аргументируйте свою позицию.

Редактировался anshlag (2014-05-20 13 ч.)

FAQ по форуму  

  By: bdfy on 2014-05-20 13 ч.

Re: FAQ по форуму

anshlag,  Забыл самое главное, в Этой стране презумция невиновности неработает, и придется самому доказывать что грабитель тоже был черным.


Со мной Бог и три пулемета© 
Жаба : [email protected]
Мыло: [email protected]

FAQ по форуму  

  By: anshlag on 2014-05-20 13 ч.

Re: FAQ по форуму

bdfy, про это я в курсе.
Я пытаюсь объяснить, что это(включен JS или нет) такая же компроментирующая информация, как и то, что меня и злоумышленника установлена винда. Или то что злоумышленник и я - мужчины.

FAQ по форуму  

  By: Vald on 2014-05-20 13 ч.

Re: FAQ по форуму

anshlag пишет:

А если у злоумышленника и у меня отключен JS это НИ О ЧЕМ НЕ ГОВОРИТ. "Грабитель тоже был черный!"

Думайте как хотите, даже если это дебилизм чистой воды.

anshlag пишет:

Я не спорил с разработчиками Тор, я спорил с вашим утверждением, не надо вменять мне то, чего я не говорил.

Мастер демагогии? Вы процитировали мою фразу, в которой я приводил утверждение разработчиков Tor, и написали "Спорно". Теперь вы говорите, что это относилось к каким-то моим якобы утверждениям.

anshlag пишет:

Пруф, пожалуйста.

Зачем? Что изменится, если я найду точную цитату? Это утверждение было в рассылке или еще где-то, на это нужно время тратить, и хотелось бы знать, зачем.

anshlag пишет:

Стесняюсь спросить, вы свечку держали?

Присутствовал и наблюдал это все со стороны своего Tor Browser. И зловред, и крики педофильских админов, и непонятное поведение ресурсов на FH, и даже тему тут на форуме.

anshlag пишет:

Не переходите на личности, матчасть и факты это разные вещи.

Да вы что. Это же так важно, надо обсудить. Расскажите подробнее.

anshlag пишет:

Я считаю что моя версия правдоподобна.

Адепты Культа Карго тоже считают, что правы.

Для вменяемых же людей есть официальный FAQ от Tor Project, где черным по белому написано

There's a tradeoff here. On the one hand, we should leave JavaScript enabled by default so websites work the way users expect. On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities ( not just a theoretical concern!). But there's a third issue: websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

P.S.

Конкретную цитату, пожалуйста предоставьте в доказательство того, что "Ребята из freedom hosting (которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере) передают привет"

Редактировался Vald (2014-05-20 13 ч.)

FAQ по форуму  

  By: Nikkon on 2014-05-20 13 ч.

Re: FAQ по форуму

Если дело дошло до Культа Карго - то всё плохо, уверен :)
А по факту: выключил - и тебя подозревают, оставил включённым - и тебя подозревают по другим признакам, но ещё и способов к деанону прибавляется. Я для себя это так вижу, но не претендую на категорический императив.


Знание - сила, храни его.
Услуги гаранта, гарантоспрос, DarkEngine.
Почта: [email protected]
Жаба:
[email protected]

 Вложения

FAQ по форуму  

  By: anshlag on 2014-05-20 14 ч.

Re: FAQ по форуму

Vald пишет:

Думайте как хотите, даже если это дебилизм чистой воды.

Я свою позцицию хотя бы аргументировал :)

anshlag пишет:

Я не спорил с разработчиками Тор, я спорил с вашим утверждением, не надо вменять мне то, чего я не говорил.

Vald пишет:

Мастер демагогии? Вы процитировали мою фразу, в которой я приводил утверждение разработчиков Tor, и написали "Спорно". Теперь вы говорите, что это относилось к каким-то моим якобы утверждениям.

Именно так. Вы не приводили утверждение разработчиков Tor, вы привели ваше понимание той фразы.

Зачем? Что изменится, если я найду точную цитату? Это утверждение было в рассылке или еще где-то, на это нужно время тратить, и хотелось бы знать, зачем.

Что изменится? Вы подменяете понятия, пытаетесь поставить мое мнение в противовес мнению более авторитетных людей. Хотя, повторюсь, я спорил именно с вашим утверждением, не надо приплетать сюда разработчиков Tor. Думаю пруфов не будет.

There's a tradeoff here. On the one hand, we should leave JavaScript enabled by default so websites work the way users expect. On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities ( not just a theoretical concern!). But there's a third issue: websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

Приведенная вами цитата подтверждает мою правоту :) Еще один аргумент в пользу пруфа оригинальной фразы, из которой вы сделали вывод о том,

С помощью CSS сейчас по словам разработчиков Tor можно узнать чуть ли не больше

Думаю там был несколько иной смысл.

Итак, вернемся к простыне аглицкого текста.

On the other hand, we should disable JavaScript by default to better protect against browser vulnerabilities ( not just a theoretical concern!).

С другой стороны, мы должны отключить JS по умолчанию, для лучшей защиты против уязвимостей браузера(не только теоретическое беспокойство!)


И дальше, та часть, которую вы выделили жирным шрифтом, она подтверждает мою правоту :):

websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.

вебсайты могут легко определить, включен ли у вас для них JS, и ЕСЛИ ВЫ ВЫКЛЮЧАЕТЕ JS ПО УМОЛЧАНИЮ, НО ПОТОМ РАЗРЕШАЕТЕ НЕКОТОРЫМ ВЕБСАЙТАМ ЗАПУСКАТЬ СКРИПТЫ(большинство людей используют NoScript), ТОГДА ВАШ ВЫБОР "БЕЛОГО СПИСКА" ВЕБСАЙТОВ(для которых включен JS) ВЫСТУПАЕТ В РОЛИ СВОЕГО РОДА ПЕЧЕНЬЯ, КОТОРОЕ ДЕЛАЕТ ВАС УЗНАВАЕМЫМ И РАЗЛИЧИМЫМ, ТЕМ САМЫМ НАНОСЯ ВРЕД ВАШЕЙ АНОНИМНОСТИ.


Конкретную цитату, пожалуйста предоставьте в доказательство того, что "Ребята из freedom hosting (которых словили именно через выполнение вредноносного кода в JS, дыра правда была в браузере) передают привет"

Пруфы:

A piece of malicious JavaScript was found embedded in webpages delivered by Freedom Hosting
...
The attack code exploited a memory-management vulnerability, forcing Firefox to send a unique identifier to a third-party server using a public IP address that can be linked back to the person's ISP.

all the sites hosted by Freedom Hosting began serving an error message with hidden code embedded in the page. Security researchers dissected the code and found it exploited a security hole in Firefox to identify users of the Tor Browser Bundle


Я готов продолжать дискуссию, без эмоций и перехода на личности, думаю для людей в теме она покажется интересной. Я сознательно не отвечаю на ваши шпильки.

 Вложения

FAQ по форуму  

  By: Vald on 2014-05-20 15 ч.

Re: FAQ по форуму

anshlag пишет:

Вы не приводили утверждение разработчиков Tor, вы привели ваше понимание той фразы.

Да-да, конечно. А напечатанные символы в рассылке говорят о понимании фразы моим компьютером, им тоже нельзя верить.

Mike Perry пишет:

nearly all of the information available to Javascript is also
available to CSS and HTTP even when JS is disabled. This includes fonts,
desktop resolution, browser widget resolution, caching-based
identifiers, and probably a few more things, too.

anshlag пишет:

Но информация, использую ли я JS или не использую, вообще ни о чем не говорит.

anshlag пишет:

И дальше, та часть, которую вы выделили жирным шрифтом, она подтверждает мою правоту

Ну мне тогда больше нечего сказать.

anshlag пишет:

Пруфы:

Там нет ни слова о том, что "ребят из FH словили с помощью дыры в JS".

FAQ по форуму  

  By: Nikkon on 2014-05-20 15 ч.

Re: FAQ по форуму

anshlag пишет:

ВЫСТУПАЕТ В РОЛИ СВОЕГО РОДА ПЕЧЕНЬЯ

Надмозги довольны, хех. А так - да, перевод anshlag'а почти по тексту.


Знание - сила, храни его.
Услуги гаранта, гарантоспрос, DarkEngine.
Почта: [email protected]
Жаба:
[email protected]

FAQ по форуму  

  By: megamozG on 2014-05-20 15 ч.

Re: FAQ по форуму

Касательно безопасности: браузер с JS уязвимей чем без JS, где-то 80% эксплоитов используют js для заполнения памяти шеллкодом, даже если сама дыра в совершенно другом месте. Но отключение JS не панацея от эксплоитов, бывали эпичные переполнения в обработчиках картинок.
Касательно анонимности: TBB поддерживает однокнопочное выключение JS из коробки, значит нет большой разницы, но все-же предпочтительнее настройки по-умолчанию.
И аргумент в пользу JS: без него сейчас крайне мало что работает. Его использование - необходимость.

Редактировался megamozG (2014-05-20 15 ч.)

FAQ по форуму  

  By: anshlag on 2014-05-20 16 ч.

Re: FAQ по форуму

Vald, приведенная вами ссылка подтверждает мою правоту относительно высокой степени анонимности при выключенном JS(об этом прямо говорится в рассылке), и относительно того, что вы неверно истолковали ответ разрабов, возможно просто не вчитывались. Я привык аргументировать свои слова, итак:

1. That nearly all of the information available to Javascript is also
available to CSS and HTTP even when JS is disabled.

что практически все, что доступно для JS, также доступно для CSS И HTTP(видимо имеются ввиду HTTP-заголовки и что-то еще), даже если JS выключен.

2. The additional amount of information JS provides beyond these things
is not substantial, if properly mitigated.

Дополнительное количество информации, которое предоставляет JS после этих вещей(имеется ввиду CSS И HTTP(НЕ ПРОСТО CSS!) не существенно, если эти вещи правильно умерены(имеется ввиду правильный метод сбора инфы)

Отсюда не следует то, что

С помощью CSS сейчас по словам разработчиков Tor можно узнать чуть ли не больше,

Именно с этим я и спорил. JS во много раз опаснее обычного CSS.

Идем дальше.

That said, disabling JS all-or-nothing is probably not a very big hit
right now with our current userbase. Enough people probably do it that
you still have an anonymity set. But, as the demographics of our
userbase change as it (hopefully) becomes easier to use Tor, this will
be less and less true.

Тем не менее, выключение JS(все-или-ничего), вероятно не самый большой успех прямо сейчас, в нашим текущим количеством пользователей. Достаточно людей вероятно сделают это так(выключат JS), у вас все равно есть запас анонимности. Но, для демографической ситуации нашей пользовательской базы(надеюсь) станет легче использовать Toр, это станет все менее и менее правдиво.

Иными словами, они не отключают JS совсем потому что хомячкам нужны слайдеры и чятики.

They will have a wealth of fingerprinting information based simply on the
scripts you choose to download and run, if they care to look.

Они будут иметь огромное количество "информационных отпечатков пальцев", основанных просто на тех скриптах которые вы выбираете для загрузки и запуска, если они внимательно посмотрят.
Смысл сводится к тому, что или JS надо отключать в браузере совсем, никаких NoScript, или оставлять включенным, если вам все равно.

Vald пишет:

Там нет ни слова о том, что "ребят из FH словили с помощью дыры в JS".

Я не хочу переводить построчно, но там говорится именно о том, что с помощью вредноносного кода в JS, который загружался когда пользователи серверов FH получали фейковое сообщение с ошибкой. Сам код юзал уязвимость в ФФ, при помощи которой можно было получить реальный айпишник, который пробили у провайдера. Все, сгущенка.

UPD: да, переводчик из меня еще тот, но смысл я думаю я уловил.
megamozg, не соглашусь. При желании, все можно реализовать без JS. Может быть не так изящно, однако если на первом месте безопасность и анонимность - надо обходиться без JS, отключать картинки, даже CSS(спасибо Vald за идею). Голая html-разметка(без стилей) вполне годится для чтения и передачи информации.

Редактировался anshlag (2014-05-20 16 ч.)

FAQ по форуму  

  By: Vald on 2014-05-20 16 ч.

Re: FAQ по форуму

anshlag пишет:

CSS И HTTP(НЕ ПРОСТО CSS!)

Забыли добавить, что еще и с помощью электричества, а не просто HTTP и CSS.

anshlag пишет:

Дополнительное количество информации, которое предоставляет JS после этих вещей(имеется ввиду CSS И HTTP(НЕ ПРОСТО CSS!) не существенно, если эти вещи правильно умерены(имеется ввиду правильный метод сбора инфы)

anshlag пишет:

Тем не менее, выключение JS(все-или-ничего), вероятно не самый большой успех прямо сейчас, в нашим текущим количеством пользователей. Достаточно людей вероятно сделают это так(выключат JS), у вас все равно есть запас анонимности. Но, для демографической ситуации нашей пользовательской базы(надеюсь) станет легче использовать Toр, это станет все менее и менее правдиво.

Это просто  :facepalm:

anshlag пишет:

Я не хочу переводить построчно

Вы правы, не стоит, читатели с глазами и знанием английского уже давно все поняли.

Я с вами закончил.

 Вложения

FAQ по форуму  

  By: anshlag on 2014-05-20 16 ч.

Re: FAQ по форуму

Vald, мне импонирует ваше внимание к моей скромной персоне. Я вполне могу чего-то не знать или ошибаться, я свою поцизию аргументировал, вы не стали. Вы никак не ответили на те аргументы, которые привел я.

Я не буду переходить на личности и устраивать срач. Думаю все все поняли, лично у меня к вам вопросов больше нету.

Тема годная, не хочется что бы она утонула в потоке флуда. Алсо с помощью flash можно было(можно и сейчас) невозбранно майнить биткоины, эффективность была не фонтан, зато сайт приносил реальный доход :) Использование сторонних плагинов и технологий - всегда риск и снижает степень анонимности.

Редактировался anshlag (2014-05-20 16 ч.)

 Вложения

FAQ по форуму  

  By: Vald on 2014-05-20 17 ч.

Re: FAQ по форуму

Не преувеличивайте, мне даже ваше мнение не интересно, не то что ваша персона. Но то, что вы самоуверенно пытаетесь убедить окружающих в правильности ваших выводов и действий, может привести к печальным последствиям для неопытных пользователей, да и форуму чести не сделает. Так что я просто направил общий информационный поток этой темы по поводу JS в TB в конструктивное русло.

FAQ по форуму  

  By: anshlag on 2014-05-20 17 ч.

Re: FAQ по форуму

Проиграл вслух :)

 Вложения

FAQ по форуму  

  By: Gapak on 2014-05-21 07 ч.

Re: FAQ по форуму

anshlag пишет:

JS включать только по мере необходимости(да, я параноик)

anshlag пишет:

И дальше, та часть, которую вы выделили жирным шрифтом, она подтверждает мою правоту

anshlag пишет:

ЕСЛИ ВЫ ВЫКЛЮЧАЕТЕ JS ПО УМОЛЧАНИЮ, НО ПОТОМ РАЗРЕШАЕТЕ НЕКОТОРЫМ ВЕБСАЙТАМ ЗАПУСКАТЬ СКРИПТЫ(большинство людей используют NoScript), ТОГДА ВАШ ВЫБОР "БЕЛОГО СПИСКА" ВЕБСАЙТОВ(для которых включен JS) ВЫСТУПАЕТ В РОЛИ СВОЕГО РОДА ПЕЧЕНЬЯ, КОТОРОЕ ДЕЛАЕТ ВАС УЗНАВАЕМЫМ И РАЗЛИЧИМЫМ, ТЕМ САМЫМ НАНОСЯ ВРЕД ВАШЕЙ АНОНИМНОСТИ.

:facepalm:

 Вложения

FAQ по форуму  

  By: anshlag on 2014-05-21 07 ч.

Re: FAQ по форуму

Gapak, :facepalm:
Озвучишь свою версию, или крутые пацаны так не делают? :) :facepalm:

Алсо выключить JS совсем и разрешать JS для некоторых сайтов - это разные вещи, кому я это объясняю :facepalm:
Vald, разбирается том, о чем говорит, ты - нет.

Никакого JS, я параноик

Почему ты не цитируешь этот кусок?

Смотри что бы майкрософт 100% не узнал через какую exit ноду тора ты выходишь :)

Редактировался anshlag (2014-05-21 07 ч.)