/ca/ - Crypto-Anarchism

Privacy, anonymity, mass surveillance


New Reply on thread #556
X
Max 20 files0 B total
[New Reply]

[Index] [Catalog] [Banners] [Logs]
Posting mode: Reply [Return]


thumbnail of 1537057845745.png
thumbnail of 1537057845745.png
1537057845745 png
(73.53 KB, 1200x725)
Здесь обсуждаем компрометацию Tor Browser и что с ней делать.

Что имеем:
https://blog.torproject.org/comment/277025#comment-277025

- Версия 7.х со слов неких "эксплоит-брокеров" имеет уязвимость (возможно, вброс)
https://www.theregister.co.uk/2018/09/10/torched_zerodium_drops_exploit_for_version_7_of_anonymous_browser/

- Обновления автоматическии устанавливаются без каких-либо оповещений что даёт возможность встроить троян при компрометации организации, разрабатывающей браузер

- В версии 8.0 запрещено менять Tor Circuit

- В версии 8.0 при перезагрузке сбрасываются настройки NoScript в положение "js активирован"
> Обновления автоматическии устанавливаются

Выключи автоматическое обновление в настройках
> В версии 8.0 запрещено менять Tor Circuit

Нажми на кнопку слева от адреса страницы с замком, там можно сменить Tor Circuit

Для глупых вопросов есть специальный тред.


 >>/558/
Тебе нужно успеть сменить настройки, пока он не скачал обновление(а скачивает он быстро), иначе тор браузер обновится.
Но лучше не использовать старую версию.



Так-с, так-с, в 8.0.1 вернули виндовый UA в HTTP как было, а в window.navigator по-прежнему раскрывается реальная ОС. Ну вот не дебилы ли? 

Всё, теперь только на всяких маргинальных бордах через тор аутировать, даже крипту не поменять на поголовно заскриптованных обменниках.


 >>/656/
Тоже хотел написать. Надо багрепорт отправлять!
Причем в 8.0 проблема просто решалась установкой расширения, где менялся и navigator.

А сейчас на винде в 8.0.1:
UA в HTTP:
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0
UA в javascript:
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0

Теперь для тора на винде юзерагенты различаются в зависимости от способа их получения!

Нужно либо самостоятельно править код этих расширений для изменения UA только в navigator, либо сидеть без скриптов. Или иначе уникальный фингерпринт. Сделаешь с помощью готового расширения - будет хуже, чем просто ходить с линуксом и скриптами. Будешь такой один.
И главное, большинство юзеров не выключают скрипты! У них можно дальше узнавать реальную ОС. Мозилла устроила просто прекрасную подлянку! Преднамеренно или нет - не важно. Так ещё разработчики тор браузера исправить нормально не могут!

Интересная статья про историю внедрения privacy.resistfingerprinting:
https://www.ghacks.net/2018/03/01/a-history-of-fingerprinting-protection-in-firefox/
Там приводится ссылка на багрепорт:
https://bugzilla.mozilla.org/show_bug.cgi?id=1409269
(да, до этого там был другой багрепорт про мак, но изменения произошли именно из-за этого)
Все изменения с юзерагентами сделаны, потому что реальная ОС может утечь благодаря фингерпринту по TCP/IP. Но утекает ОС из конца цепочки прокси, можете проверить(большинство выходных нод на линуксе, поменяйте цепочку, там будет старая версия ядра или FreeBSD): https://browserleaks.com/ip

А значит, эта фича "отсутствия конфликтов различных методов для определения ОС" для тор браузера абсолютно бесполезна(это сказал и сам девелопер), потому что она не узнает ОС выходной ноды, а юзерагент следует ОС, где браузер находится. И в конце цепочки обычно находится линукс, а юзерагент берут с винды, потому что там больше пользователей.
Но почему-то в мозилле не подумали о прокси и торе. Не добавили отдельную настройку, чтобы можно было разрешить изменять юзерагент. Или не реализовали возможность как-то автоматически детектить ОС прокси или впна, хотя это очень сложно или невозможно.

thumbnail of 4d50721f8e3fbaa45ac4796d2f14c083.png
thumbnail of 4d50721f8e3fbaa45ac4796d2f14c083.png
4d50721f8e3fbaa45ac47... png
(385.08 KB, 598x432)
А вся эта дикая хуйня происходит из того, что вы пытаетесь натянуть анонимность на веб, который слишком сложен и вообще враждебен этому.

Ладно с Тором - он для выхода в обычный интернет нужен - но зачем было делать скрытый веб в И2П? Разве сложно было сделать свою упрощённую гипертекстовую систему? На Маркдауне каком-нибудь или даже проще, без Джаваскрипта, без куков, без юзер-агентов, без фингерпринтов, без нихуя. Просто текст со ссылками, встраиваемыми картинками и формами, чтобы сообщения отправлять.

 >>/671/
ш2з на транспортном уровне же работает, никто не мешает тебе пустить через него векторный гипертекстовый фидонет или ирку

 >>/671/
> Разве сложно было сделать свою упрощённую гипертекстовую систему?
Её нужно сделать независимо от транспорта. Для динамических страниц не нужно исполнение всякого говна вроде жс, смену стилей по евентам можно нахуярить с минимальными изменениями на html&css, даже xhr с шаблонами. Для ориентированых на анонимность сайтов в скрытосетях лучше конечно ещё упростить. Проблема только с клиентами. Разве что голый html4 браузерам кормить.


 >>/667/
> Так ещё разработчики тор браузера исправить нормально не могут!

Не хотят. С трудом уговорили отправлять винду, а не реальную ОС в UA в HTTP.

> Теперь для тора на винде юзерагенты различаются в зависимости от способа их получения! 

Так задумано. В HTTP винда, а в js реальная ОС.

> Но почему-то в мозилле не подумали о прокси и торе. Не добавили отдельную настройку, чтобы можно было разрешить изменять юзерагент.

Об этом думать должны не в мозилле, а разработчики тор браузера. А они отказываются прятать реальную ОС. Это не техническая проблема.

 >>/681/
Я вот почему-то ни секунды не совмевался, что в следующей же версии вернут в зад, но не до конца. Что-то мне это напоминает.



 >>/719/ 
Окно Овертона, тиапа? Сначала полный абсурд делаем действительностью, а потом немного ослабляем давление и уже ранее ненормальные вещи принимают как что-то хорошее.


В восьмом тор браузере я недавно заметил, что два, а то и три (т. е. все) пира подряд могут находиться в одной и той же стране. Можно как-то через torrc это запретить? В идеале, разнести все три по разным странам.


Firefox и Tor Browser обновляя extensions.blocklist раз в сутки сливает версию ядра linux на сервера мозиллы, и разрабы Tor за шесть лет https://trac.torproject.org/projects/tor/ticket/6734 не устранили этот беспредел.
https://trac.torproject.org/projects/tor/ticket/16931


 >>/737/
Сейчас.
На старой версии не работает HTTP/2.

Как минимум на сайтах с клаудфларой, клаудфлара будет знать, что у тебя старый браузер и сможет тебя отслеживать.



Если кто-то из вас заинтересован в решении проблемы фингерпринта и заскриптованности сайтов, и готов оказать посильную помощь, просьба отписаться в треде. Решение есть.

 >>/777/
> просьба отписаться в треде. Решение есть.

Почему ты не пишешь, какая посильная помощь тебе нужна, а ждешь, что кто-то отпишется в треде?

Я вижу только два выхода - давить на разработчиков браузера или сделать форк и убедить как минимум половину линуксоидов использовать форк вместо официальной версии.

 >>/777/
> заскриптованности сайтов
Запилить минималистичную альтернативу, покрывающую большинство потребностей - изменение стилей и подгрузка контента по клику. Сделать скорее всего не сложно, хоть сколько-нибудь популиризовать уже проблема.

> изменение стилей и подгрузка контента по клику

Ты хочешь создать с нуля юзерскрипты и юзерстили?

 >>/785/
Потребуется сделать вот что:
1) Детализировать описание рашения до такой степени, чтобы его могли реализовать в браузерах.
2) Продвинуть это решение до уровня создателей браузеров и W3C.

 >>/816/
Нет.
Ты никогда не задумывался, почему в каждом скрипте доступны сразу все Web-whatever-API, есть полный доступ к DOM и возможность подтянуть на страничку любой файл с любого URL? Почему я, как веб-разработчик, не могу загрузить внешний скрипт, запретив ему любым способом отправлять данные каким-либо способом, будь то AJAX или еще что-нибудь?

Почему я не могу изолировать скрипт, использующий к примеру WebGL, от всех возможностей отсылать данные в сеть?

А теперь попробуй представить, что во всех браузерах появилась возможность задавать каждому скрипту свои ривелегии и свой Global Environment, изолированный от других скриптов.
Это и есть решение.
Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Тогда уже и в браузерах можно будет вводить избирательную блокировку скриптов, в которых одновременно доступны источники фингерпринта и возможности посылки запросов в сеть.


 >>/816/
Не юзер- и с ограничеными возможностями. Для многих сайтов скрипты не нужны только чтобы по клику переключить стили/загрузить с сервера кусок страницы. Т.е. такой код можно не исполнять транслируя в машинный, а просто парсить как разметку, по сути это её небольшое расширение.

 >>/823/
Можно на первых порах реализовать аддоном. Собственно всё, что нужно - возможность прописывать в html onclick не-жс, или ограниченный жс с функциями селекта по css id/class, смены их же и отправка запроса, который будет напрямую вставляться в .innerHTML. Этого достаточно для большинства сайтов, которые сегодня не работают без жс, при этом писать их станет проще и браузеры скорее всего дут жрать меньше. Для более свистоперделочных сайтов это не подойдёт, тут уже как ты предлагаешь нужны ограничения, но я не думаю, что оно взлетит - на данный момент возможности к ограничению есть и на них разрабы просто кладут хуйцы - если у 3.5 параноиков не работает сайт, им просто похуй.

 >>/833/
>  Для более свистоперделочных сайтов это не подойдёт, тут уже как ты предлагаешь нужны ограничения, но я не думаю, что оно взлетит - на данный момент возможности к ограничению есть и на них разрабы просто кладут хуйцы - если у 3.5 параноиков не работает сайт, им просто похуй.

Так в том всё и дело, что настройка ограничений должна быть стандартной и универсальной, дабы можно было увешивать сайт свистоперделками и не тревожить при этом privacy-conscious persons, которых намного больше чем 3,5 анонимных параноика. Только такая спецификация может взлететь и преодолеть сопротивление жадных говноедов, для которых сокращение возможностей фингерпринта сулит финансовые потери.

Допустим, что у меня есть готовая спецификация под это  >>/824/ решение. Лушче обращаться с нею сразу в W3C или сначала по браузерным багтрекерам раскидать?


 >>/844/
> жадных говноедов
Которые и держат 99% свистоперделочных сайтов и на спецификацию будут класть, ибо жс гугл из своего браузера против своих интересов вырезать не станет.


 >>/852/
Это не позволяет отказаться от жс и нет возможности по онклику менять контент частично, а из ифрейма в основном документе просто ничего не поменять.

 >>/845/
> Лушче обращаться с нею сразу в W3C

Туда уже обратились жадные говноеды, готовые поделиться частью прибыли от возможностей фингерпринта. Поэтому в HTML5 добавляют функции для сбора информации о системе через браузер.

 >>/824/
> Почему я, как веб-разработчик, не могу загрузить внешний скрипт

Потому что ты говноед, загружающий скрипты с серверов корпораций.

> Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.

Им плевать. Любому грамотному человеку изначально понятно, что архитектура NPM с загрузкой и автообновлением модулей от мимокрокодилов - небезопасное говно. Но они продолжают ей пользоваться даже после недавнего протроянивания npm-модуля.

Вы не тем занимаетесь, у нас тут из javascript утекает реальная ОС в тор браузере, а вы думаете как использовать сайты со скриптами без скриптов.

 >>/824/
Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
> Тогда уже и в браузерах можно будет вводить избирательную блокировку скриптов

Для юзеров разобраться в каких-то простых вещах сложно, а во всех API javascript будет весьма проблемно. Будет либо будет разделение привелегий для разработчиков по API, в котором можно будет всё в точности отрегулировать, либо для юзеров, в которой всё будет просто, но с определенным запретом будет отметаться половина возможностей скриптов.

 >>/831/
> нужны только чтобы по клику переключить стили/загрузить с сервера кусок страницы. Т.е. такой код можно не исполнять транслируя в машинный, а просто парсить как разметку

Это можно сделать тысячей различных способов в javascript. Я не понимаю, как это можно сделать без выполнения кода, если с сервера загружается не просто html, а json.

 >>/833/
> достаточно для большинства сайтов

Нет.

 >>/853/
> нет возможности по онклику менять контент частично

Браузер будет загружать из кеша весь неизмененный контент.
> ифрейма в основном документе просто ничего не поменять

Тебе не нужно ничего менять в основном документе. Тебе нужно загружать дополнительный контент при желании юзера. Всё, что нужно менять, пихать в отдельные ифреймы.



 >>/849/
Предлагаешь собственноручно написать сразу с реализацией в виде форка лисы?
 >>/850/
> Которые и держат 99% свистоперделочных сайтов и на спецификацию будут класть
Ты не прав. 99% коммерческих сайтов, если ими владеют не ИТ компании, делаются не теми, кто стрижет с них купоны. Это дело доверяют веб-разработчики, которые решают поставленную задачу удобным для них способом. Решение подкупает именно этим удобством, именно поэтому оно взлетит. А ограничения запуска скриптов с неоправданно высокими привелегиями после этого уже будет вопросом времени, как это было с блокировкой рекламы и введением Tracking Protection.
 >>/852/
Без js фреймы можно грузить через  , например.

 >>/857/
> Это можно сделать тысячей различных способов в javascript.
Задача от него отказаться.
> Я не понимаю, как это можно сделать без выполнения кода, если с сервера загружается не просто html, а json. 
Во-первых нинужна, во-вторых можно сделать шаблоны.
> Нет
Ну ты бы пример что ли привёл, какая полезная распространённая фича отвалится.
> Браузер будет загружать из кеша весь неизмененный контент. 
Придётся делать кучу ифреймов для каждой мелочи,
> Тебе нужно загружать дополнительный контент при желании юзера. Всё, что нужно менять, пихать в отдельные ифреймы.
при этом из одного ифрейма нельзя менять другой. И без отказа от жс оно не имеет смысла.

 >>/860/
> Решение подкупает именно этим удобством
Я не понял, каким образом это будет удобнее для разработчиков.
> как это было с блокировкой рекламы
Которой пользуется менее половины пользователей лисы и хуй знает, сколько хрома, думаю заметно меньше.
> введением Tracking Protection
Что и куда было введено?
> Без js фреймы можно грузить через , например
урл не обновить, история отвалится

 >>/856/
> Потому что ты говноед, загружающий скрипты с серверов корпораций.
Нет, я только примерил на себя образ тех, кто это делает.
> Им плевать. Любому грамотному человеку изначально понятно, что архитектура NPM с загрузкой и автообновлением модулей от мимокрокодилов - небезопасное говно. Но они продолжают ей пользоваться даже после недавнего протроянивания npm-модуля.

А что они, по-твоему, должны были сделать? Пока не будет нормальной альтернативы, они будут пользоваться тем что есть.

 >>/857/
> Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
> Для юзеров разобраться в каких-то простых вещах сложно, а во всех API javascript будет весьма проблемно
А им и не нужно будет ни в чем разбираться. Сначала какой-нибудь васян сделает расширение, по дефолту блокирующее опасные сочетания привелегий. Потом эту функцию встроят в адблокеры. Потом в браузеры.

 >>/863/
> А что они, по-твоему, должны были сделать? Пока не будет нормальной альтернативы, они будут пользоваться тем что есть.
Хотя бы скачивать себе и обновлять вручную
> Сначала какой-нибудь васян сделает расширение, по дефолту блокирующее опасные сочетания привелегий. Потом эту функцию встроят в адблокеры. Потом в браузеры.
Уже сегодня подобные вещи есть и ломают сайты. Причём большинство даже не заворачивается в try catch и ломается полностью+есть единицы, которые показывают заглушку "без этой фичи сайт не работает, включите или идите нахуй".

 >>/858/
Удваиваю запрос
 >>/862/
> Я не понял, каким образом это будет удобнее для разработчиков.
Скриптам можно будет задать разные Global Environment, чтобы их области видимости не пересекались.
Контроль внешних скриптов. Даже если их кто-то протроянит, при правильной настройке привелегий ничего не произойдет.
Раздельное использование API и привелегий. Каждый скрипт может выполнять только свою задачу. И даже не заглядывая внутрь скрипта, по его объявлению в HTML будет понятно, для чего он используется.
Может быть что-то ещё, о чем я забыл.
> Что и куда было введено?
Tracking Protection list в Firefox. В русской локали это список блокировки.
> Которой пользуется менее половины пользователей лисы и хуй знает, сколько хрома, думаю заметно меньше.
Что ты хочешь этим доказать? Что не надо было создавать адблокеры?

 >>/864/
> Уже сегодня подобные вещи есть и ломают сайты. 
Они ломают сайты, потому что не могут заранее определить, используется канвас (или другая фишка) для фингерпринта, или же для чего-то другого. А по заданным привелегиям это можно определить еще до выполнения скрипта.

 >>/857/
> Вы не тем занимаетесь, у нас тут из javascript утекает реальная ОС в тор браузере, а вы думаете как использовать сайты со скриптами без скриптов. 
Ставишь любой user agent spoofer с проверенным лично тобой кодом, отключаешь обновления расширений и используешь. Или тебе надо на разработчиков надавить?

Думаю, хорошим решением было бы отказаться от удаленной загрузки произвольных скриптов, так чтобы юзер загружал их в репозиторий браузера так же, как десктопный софт.


 >>/857/
> Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
Если это решение можно хотя бы частично реализовать через расширения, то я попробую это сделать. Но это не отменяет необходимости искать другие пути.


 >>/867/
Спуфать UA должны все. Особенно если учесть, что разработчики TB поставляют разные шрифты для разных платформ.



 >>/865/
> Скриптам можно будет задать разные Global Environment, чтобы их области видимости не пересекались.
Зачем? к тому же модули уже вроде есть.
> Контроль внешних скриптов. Даже если их кто-то протроянит, при правильной настройке привелегий ничего не произойдет.
Если бы это кого-то ебало, они бы не использовали внешние скрипты. К тому же их содержимое используется из своих скриптов, вынесение в отдельный контекст лишает их смысла, к тому же доступ у них к одному dom, в котором обычно вся полезная инфа есть.
> Раздельное использование API и привелегий. Каждый скрипт может выполнять только свою задачу. И даже не заглядывая внутрь скрипта, по его объявлению в HTML будет понятно, для чего он используется.
С библиотеками типа jquery это не прокатит, т.к. через неё идут почти все операции. Для каких-то отдельных фич смысл наверно есть, но я не верю, что кого-то из разработчиков это ебёт достаточно, чтобы тратить на это время, даже если им готовый стандарт, поддерживаемый браузерами дать.
> Tracking Protection list в Firefox
> в Firefox
> отключен по-дефолту
> ломает сайты, в чём разумеется винят мозиллу(что в общем-то правильно с их подходом)
> Что ты хочешь этим доказать? Что не надо было создавать адблокеры?
Что это не влияет на разрабов, максимум напишут просьбу отключить адблок для поддержки сайта/скажут, что с ним оный может отображаться некорректно, если что - идите нахуй. Я так недавно пошёл, когда интернет-магазин без яндекс метрики тупо не работал.

 >>/866/
> А по заданным привелегиям это можно определить еще до выполнения скрипта.
Что-то мне это неочевидно. Часть скриптов конечно отрежет, но ничто не помешает желающим начать использовать канвас для логотипа и вкрутить в тот же скрипт слежку.

 >>/868/
Мне кажется было бы более реалистично начать с ит сайтов и декларирующих уважение приватности пользователей, если будет рабочая версия, будет проще убедить их владельцев написать к ней клиент, а к чему-то клиенты смогут писать сами пользователи.

 >>/863/
Так-то оно так. Только этот васян может никогда не появиться.
 >>/868/
Прямо сейчас возьмешь и изменишь структуру веба?
 >>/870/
Жду ссылку здесь на AMO через 1-2 месяца.
Ты серьезно будешь что-то писать?

 >>/861/
> Во-первых нинужна, во-вторых можно сделать шаблоны.

Вместо шаблона будет проще прочитать код.
> Ну ты бы пример что ли привёл

> если с сервера загружается не просто html, а json


> Придётся делать кучу ифреймов для каждой мелочи

> при этом из одного ифрейма нельзя менять другой

Именно так. Либо перезагружать всю страницу. Но благодаря этому пользователь будет полностью контролировать загрузку страницы.
> И без отказа от жс оно не имеет смысла

Это имеет смысл, если у пользователя отключен жс

 >>/870/
У вебэкстеншенов с этим плохо - они работают по принципу блокировки и могут внезапно отвалиться. Надо чтобы они наоборот разрешали отключенное по-дефолту, что без изменения браузера невозможно.

 >>/879/
> Вместо шаблона будет проще прочитать код. 
Что? Шаблон не исполняемый, пользователю его не надо читать, вообще не понял это сравнение.
>  >Ну ты бы пример что ли привёл 
>  >если с сервера загружается не просто html, а json 
Мой вариант подразумевает изменения на сервере если что. Отвалятся же только относительно сложные клиентские фичи вроде кастомных аудио/видео плееров, поиска без запросов на сервер и прочее, что нинужно и как правило отсутствует на многих сайтах - форумах, блогах, вики и т.д.
> Но благодаря этому пользователь будет полностью контролировать загрузку страницы. 
Это не единственный вариант, для тех, кого это волнует можно сделать политики чтобы запросы были только по клику и при наведении будет показываться адрес как для ссылок.
> Это имеет смысл, если у пользователя отключен жс
Я как бы отвечал на
> По онклику загружай контент в ифрейм,
Вообще стоит разделять попытки ограничить существующее и переписывание сайтов. Если владелец заинтересован, то нет необходимости ограничиваться существующими технологиями, которые не расчитаны на отключеный жс.

 >>/876/
> Если бы это кого-то ебало, они бы не использовали внешние скрипты.
Ты не прав. Плюнь в любую сторону и обязательно попадешь во что-нибудь, что многие очень хотят поменять, но не меняют.
 >>/877/
У тебя есть скрипт с доступом к канвасу, шрифтам и svg, без возможности послать запрос в сеть или записать что-то в DOM. Как ты собрался вкручивать в него слежку?

 >>/885/
Это какой-то уникальный скрипт, такой может быть нужен разве что ради пэинта в браузере. У меня конечно нет статистики, но канвасы вроде обычно используют для игр и другого динамически подгружаемого контента, где удобства такое точно не добавит, незаинтересованные разрабы не будут выносить отрисовку в отдельный скрипт, так что ломать оно будет как фингерпринты, так и обычный функционал.
> Ты не прав. Плюнь в любую сторону и обязательно попадешь во что-нибудь, что многие очень хотят поменять, но не меняют.
Это ничего не меняет. Хотят-не хотят, делают как проще, учить что-то новое без необходимости мало кто будет, тут интересы только пользователей, которые их приблизительно никак не отстаивают.

 >>/867/
> Ставишь любой user agent spoofer

А любой умеет выдавать для HTTP 
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0 
а для js
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0 
как сейчас делает TB под виндой?

 >>/886/ 
> незаинтересованные разрабы не будут выносить отрисовку в отдельный скрипт, так что ломать оно будет как фингерпринты

Сейчас 95% разработок делают для сбора персональных данных и показа рекламы. Разрабы заинтересованы, чтобы фингерпринты работали.

А как насчет того чтобы создать окружение и браузер которые спуфят все по максимуму и дают выбор из разных правдоподобных комбинаций фингерпринтов вместо одного захардкоженного господином разработчиком? Тот же фингерпринтинг тор браузера фиксится настройкой оконного менеджера на другую ширину скроллбара схожую с шиндошс.

Есть такой васянский браузер Linken Sphere который даже на ксакепе прорекламировали. Если убрать его очевидную ханипотность и проприетарную натуру, но техники которыми он подменяет фигнерпринты вполне известны и хорошо работают, обычно в виде браузерных плагинов и виртуальных машин. Пока javascript запрещает меньшинство, таким образом не скрыться, а то и просто невозможно пользоваться сайтами.


thumbnail of df52cea112a714f0bb51c1afaec56ec8.jpg
thumbnail of df52cea112a714f0bb51c1afaec56ec8.jpg
df52cea112a714f0bb51c... jpg
(252.07 KB, 1200x834)
 >>/885/
> Как ты собрался вкручивать в него слежку?
Получаю рута через какой-нибудь очередной мелтдаун, будь ты хоть в 10 виртуалках, сливаю ключи от твоих разделов и ставлю следящего за тобой трояна.

 >>/889/
Поэтому и ориентироваться на них нет смысла. Если число пользователей препятствующих слежке аддонов/настроек будет расти, то они станут намерено писать ломающиеся сайты.


Значительная проблема заключается в клаудфларе, а в частности её гуглокапче. Гуглокапча вообще самое уебанское изобретение за всю историю человечества, поэтому логично что с ней хочется сталкиваться как можно реже. Раньше можно было поставить правильный юзерагент Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0 и на доброй половине сайтов требование капчи отпадало. Сегодня попытался обновиться до восьмой версии. Одна из причин, почему попытка не завершилась успехом - именно клаудфлара. Даже с подмененным как положено юзерагентом все равно выдавало ебучее Please complete the security check to access site.com.

Как с этой хуйнёй бороться, господа? У кого-нибудь вышло на квантуме справиться с клаудфларой? На firefox esr результат был такой же как и на торобраузере.


 >>/899/
Кстати поясните за него. Какие подводные использовать его при браузинге клирнета? Пидорашьи провайдеры всё ещё предоставляют "платные сайты" или нет?

 >>/900/
Отключи TLS 1.3 и блядофляра будет тревожит только там, где пидорахи-админы сами включили анальную проверку тора.

security.tls.version.max=3

все похоже на то, что блядофляра попросту демонстрирует нам силу, якобы "забыв" внести новый конфиг торбраузера в белый список, как теперь она без задней мысли может забанить для рассово неправильных айпишников полинтернета

 >>/901/
Дыры находят раньше, чем выпускают патчи - по определению. Стало быть, любая популярная платформа уязвима постоянно.


 >>/903/ 
> Отключи TLS 1.3 и блядофляра будет тревожит только там, где пидорахи-админы сами включили анальную проверку тора.

> security.tls.version.max=3


Благодарю, чуть позже потестирую. Но есть еще две проблемы, тормозящие мой апдейт. Может еще скажешь, как нормально сменить юзерагент, ибо general.useragent.override не работает как должен, а мокрописьки и лишние васяноплагины это не наш метод. Вторая проблема заключается в том, что у носкрипта слетают настройки в положение "всё разрешено" и решения я почему-то не нашел.

> все похоже на то, что блядофляра попросту демонстрирует нам силу, якобы "забыв" внести новый конфиг торбраузера в белый список, как теперь она без задней мысли может забанить для рассово неправильных айпишников полинтернета


Стоит попробовать написать на форум или багтрекер или что там еще у них есть.

 >>/906/
> Может еще скажешь, как нормально сменить юзерагент

А никак, лол. Нет, правда, подумай хорошо сам, почему менять UA какими-либо методами чисто для себя - да хоть патчингом сорцов - плохая идея. 

general.xxx.override будет работать, только если отключишь resistFingerprinting со всеми вытекающими типа необходимости затыкать протекающий канвас.

 >>/905/
Есть мнение, что уязвимости обнаруживаются задолго до того, как становится публично известными. И не всегда - хорошими парнями.

 >>/906/
> Вторая проблема заключается в том, что у носкрипта слетают настройки в положение "всё разрешено" и решения я почему-то не нашел. 

Вебекстеншн хуита не имеет ничего общего с ламповым XUL носкриптом. Лучей говна разработчикам TB, не заменившим это ебаное глюкалово на мюматрикс.

В общем, хуй знает как с этим жить (ютаб так и не завелся, например) и не опасно ли с т.з. фингерпринтинга поменять эту парашу на матрицу.


Они так торопились выложить 8.0.2, что поломали reproducible build.
> While preparing the 8.0.2 release we encountered intermittent reproducibility failures for Linux (64bit) bundles.

https://blog.torproject.org/new-release-tor-browser-802

> While rushing to the 8.0.2 security release we found a problem with reproducing Linux (64bit) bundles. The failure is intermittently, though, but it is still concerning.


> It's not clear yet what is causing this problem. The current theory is one of the security patches although this does not make much sense yet.

https://trac.torproject.org/projects/tor/ticket/27937



 >>/935/
Ох, ну ладно, а то я уж испугался. Надеюсь, его взгреют там хорошенько, чтоб не портил больше жизнь нормальным людям! Мы из-за этого террориста без повторябельных сборок остались, скажите ему спасибо.

 >>/907/ 
> А никак, лол. Нет, правда, подумай хорошо сам, почему менять UA какими-либо методами чисто для себя - да хоть патчингом сорцов - плохая идея. 

Фингерпринт, кококо, фингерпринт. Да знаю я про ваш фингерпринт. Впрочем, security.tls.version.max=3 уже дает возможность обходить клаудфлару, так что ебля со сменой юзерагента становится сомнительной необходимостью. С другой стороны, срущий жаваскрипт с глючным носкриптом сводит весь смысл вашей хвалёной защиты от фингерпринтинга к нулю. 

В общем, лично я пока что предпочту остаться на седьмой версии, параллельно присматривая вариант для съеба.


 >>/941/
> кококо

Вам на двач.
 >>/824/
> Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.

Им-то это зачем? Работа фронтенд-пидорасни направлена на быдло и только на быдло, поэтому и существуют тонны всякой ссанины типа реактов, ангуляров, вуеджсов и т.д. - быдлу не интересно ходить по страничкам, быдлу нужно чтоб всё блестело моргало и прыгало, а на каких-то там полутора анониздов всем посрать, да и просто на любителей чистого браузинга (когда тыкаешь на ссылку @ прочитал статью/посты @ опционально ответил @ всё) тоже посрать, ведь они как и анонизды денег не приносят.
Идеальный пользователь веба - он без адблока сидит, с включенными скриптами, ставит все предлагаемые приложения (недавно оказалось, что даже у imgur есть приложение, это же блять просто хостинг картинок, а без приложения он мобиле не выдаст картинку в оригинальном расширении), а ну и в идеале туп достаточно чтобы тыкать на рекламу.

 >>/955/
> это же блять просто хостинг картинок
Это почти Сосач, вроде как.

> туп достаточно чтобы тыкать на рекламу
Реклама работает, даже если её не тыкать. На щиты в городе ты ведь не тыкаешь обычно?

Вообще у отказа от Джаваскрипта есть недостаток: если твои данные не будут обрабатываться на клиенте, им придётся обрабатываться на сервере. Все эти вуи, реакты и так далее - оно нужно, чтобы экономить серверные ресурсы, перенося часть работы на клиент.

 >>/824/
В W3C уже занимаются разработкой стандарта, который позволит вводить ограничения доступа к Web API. Пока что планируется сделать возможность устанавливать привелегии для browsing context, но как я понял, в будущем это хотят распространить и на scripting context.

 >>/957/ 
> экономить серверные ресурсы, перенося часть работы на клиент.

Забота об экономии серверных ресурсов не мешает им тащить всю информацию клиента в облако для обработки. А вот формировать вебстраницу на сервере - они не хотят. Отдают браузеру шаблон и подгружают json, чтобы тормозящий браузер сам формировал вебстраницу.

 >>/955/
> даже у imgur есть приложение, это же блять просто хостинг картинок, а без приложения он мобиле не выдаст картинку в оригинальном расширении

Интересная тенденция - на десктопе функционал приложений тянут в браузер, чтобы привязать пользователя к сайту и заставить его поделиться информацией, с которой он работает. Ради этого в браузер добавляют canvas, webgl и прочее не нужное на 99% сайтов. Торбраузер выдает операционную систему, чтобы Google Doc работал в торбраузере на mac. А на смартфонах функционал простого вебсайта заворачивают в отдельное приложение, которое тащит на свой сервер всю информацию, которую может собрать.

 >>/957/
> 
Вообще у отказа от Джаваскрипта есть недостаток: если твои данные не будут обрабатываться на клиенте, им придётся обрабатываться на сервере. Все эти вуи, реакты и так далее - оно нужно, чтобы экономить серверные ресурсы, перенося часть работы на клиент.
1. Результату полученному на клиентской машине нельзя доверять, хотя бывает что и не нужно
2.  >>/971/

Все, к чему прикоснется Microsoft, превращается в говно. Винду превратили в говно, скайп почти убили.
Теперь и до Github добрались. Превратили процесс регистрации из-под тор браузера в бесконечное издевательство. Суки, поставили обновление страницы вместо продолжения регистрации. 
Блять, как мне быть-то теперь? Я зарегистрироватья хотел. Аноны, помогите.


По возможности не пользоваться и агитировать разрабов валить, а так попробуй после тора обычную проксю надеть.

 >>/1035/
> а так попробуй после тора обычную проксю надеть.

Еще бы знать, как ее нацепить, не сломав управление цепочками и изоляцию вкладок в торбраузере.

 >>/1030/
> Все, к чему прикоснется Microsoft, превращается в говно.

Любая централизованная параша превращается в говно. Программисты как мухи слетелись на сервера коммерческой фирмы, а теперь удивляются, что их продали другой фирме. 

> Превратили процесс регистрации из-под тор браузера в бесконечное издевательство.

Не переживай. Разработчики тор браузера еще немного пожертвуют приватностью всех пользователей, чтобы можно было зарегистрироваться на гитхабе.

> Блять, как мне быть-то теперь? Я зарегистрироватья хотел.

< Гитхаб - говно! Как мне там зарегистрироваться?

 >>/1040/
Не всегда возможно отказаться от использования сервисов, целенаправленно борящихся со средствами анонимизации. Схемы безопасной работы с ними тоже нужно прорабатывать.

Кстати, интересно - а что мешало реализовать в торе непубличные выходные узлы на манер входных бриджей, которые успешно обходят даже ВКФ? Гугл и блядофляра не одобрямс?

 >>/1042/
> непубличные выходные узлы

У операторов публичных выходные узлов бывают проблемы с полицией демократических государств. Оператору непубличного узла придется регулярно доказывать, что это не он взламывал банк, скачивал детское порно и угрожал взорвать Белый дом.

 >>/1041/
> Не всегда возможно отказаться от использования сервисов

Если ценность и популярность сервиса основана на количестве его пользователей, то используя такой сервис ты повышаешь его ценность и популярность.

 >>/1043/
Если одна из задач разработчиков тора - борьба с его цензурой, то нужно работать над способами сокрытия факта его использования не только от ISP, но и от конечных хостов. А они напротив, помогают сайтам детектить торбраузер и пишут гайды для админов, как блочить эксит-ноды.

 >>/1044/
В реальном мире людям обычно нужно зарабатывать деньги, покупать товары и услуги, писать багрепорты на жизненно необходимый софт, общаться с множеством людей по разным каналам. Я не считаю, что ограничивать практическое применение КА/ИБ мелкобордами для кучки параноиков - хорошая идея.

> используя такой сервис ты повышаешь его ценность и популярность

Я - не статистически значимая единица. Есть глобальные социальные тренды, которые формируют статистику таких сервисов и повлиять на них своим личным отказом от них я не могу.


 >>/1048/
> работать над способами сокрытия факта его использования не только от ISP, но и от конечных хостов. 
Ну а как ты это сделаешь? Непубличные операторы еще больше подвержены бутылке, как мы выяснили.

 >>/1051/
Купить анонимно впс или дедик не так уж и сложно. В крайнем случае его прикроют и все. Окей, пусть непубличные экситы будут короткоживущие, как сейчас ломаные соксы - люди, готовые их поддерживать все равно найдутся. 

А иначе завтра решит блядофляра заблокировать тор - и прощай полинтернетов.


 >>/1053/
Нет нормального способа прикрепить сокс на выход, не потеряв в функциональности - скажем, способов вешать отдельный сокс после тора на каждую вкладку просто нет. Редиректоры типа proxychains не очень надежны, а виртуалка - геморрой и оверхед. Владельцу сокса виден траффик и хосты (да, на эксите тоже, но зачем еще одни уши?) Частая смена соксов затруднена, что повышает риск корелляции траффика, а пользуясь одним прокси-листом от васяна нельзя быть уверенным, что даже при частой ротации их не свяжут.

 >>/1054/
Если экситы будут не публичными, то частая смена же тоже будет затруднена, разве нет?
> пользуясь одним прокси-листом от васяна нельзя быть уверенным, что даже при частой ротации их не свяжут.
Ну хрен знает, эксит ноды же ты узнаешь тоже от одной сущности, от торпрожекта.

Мне пиздецки срочно нужно зарегистрироваться на гитхабе, при этом оставаясь за тором. Но эта ссанина водит меня по кругу. Помогите.

 >>/1061/
отключи тор в торбраузере
запусти торбраузер через торсокс или проксичейнз с одним тором в цепочке
в настройках прокси браузера укажи хттп/сокс проксю из нагугленного листа

впрочем, гугл моментально детектит публичные прокси, так что не факт что это поможет в случае с майками. тогда только покупать впн и пускать через whonix - гайды найдешь в их вики

тор отключается так (алсо, полезно для серфинга через торбраузер по ш2з):
user_pref("extensions.torbutton.use_nontor_proxy",true);
user_pref("extensions.torlauncher.prompt_at_startup",false);
user_pref("extensions.torlauncher.start_tor",false);


 >>/1063/
Отключать тор нельзя. И проблема не в нем, а в какой-то фиче, которая в тор браузере по умолчанию отключена. Если бы они банили торовские хосты, то так бы и писали.

 >>/1063/
Отключать тор нельзя. И проблема не в нем, а в какой-то фиче, которая в тор браузере по умолчанию отключена. Если бы они банили торовские хосты, то так бы и писали.

 >>/1071/
Какая именно фича отключается этими префами?

use_nontor_proxy отключает изоляцию цепочек на вкладках. Но какая разница, если прокся на конце одна и та же?

start_tor=false отключает запуск тора, поставляемого вместе с браузером. Если в системе стоит торовский демон, то запускать отдельный тор для браузера не нужно и даже вредно - позволяет провайдеру профилировать сессии, отличая запущенные экземпляры тора по разным гардам/бриджам.

 >>/1071/
А, все, понял. Мы не выключаем тор, а используем для торификации вместо средств браузера редиректор (torsocks, proxychains), чтобы средствами браузера можно было выставить сокс/хттп проксю после тора.

> а в какой-то фиче, которая в тор браузере по умолчанию отключена

Накатывай хуникс, поставь в нем хромиум. Зарегался - виртуалку уничтожил, дальше работаешь через нормальный браузер.

Когда-то давно была возможность отличать хром от лисы по порядку HTTP заголовков. Сейчас это уже починили?

 >>/1073/
Причину я выявил. При каждом заходе на страницу сервер зачем-то меняет идентификатор сессии, который хранится в куках. Браузер их не затирает до закрытия, цепочки узлов тора не меняются.

Почему в новом торе написано, что нельзя менять guard узел, хотя по факту он все равно меняется?

 >>/1048/
> А они напротив, помогают сайтам детектить торбраузер и пишут гайды для админов, как блочить эксит-ноды.

Их официальная политика: каждый имеет право подключаться к тор и обходить цензуру провайдера, но владельцы сайта имеют право заблокировать или ограничить доступ из тор. Это разумно и отбивает аргументы, что через тор злые хакеры поломают мой блог и украдут деньги со счета в банке и его надо запретить. Боитесь, что анонимы навредят вам, спрятавшись за торбраузером - блокируйте тор и не бойтесь.

 >>/1052/
> А иначе завтра решит блядофляра заблокировать тор - и прощай полинтернетов.

Блядлофлара блокирует любой ip из черного списка и делает исключение для тор. С непубличной exit-ноды начнут срать школьники - она попадет в черный список.

 >>/1049/ 
> повлиять на них своим личным отказом от них я не могу.

А теперь представь, что множество людей думает также как ты и все сидят на гитхабе из-за других, потому что думают, что все остальные не хотят отказываться от гитхаба.




 >>/1104/
А почему ты думаешь, что все остальные являются массами хомячков и только ты не хочешь пользоваться гитхабом? Чем ты отличаешься от масс хомячков, если как они создаешь там аккаунт и становишься еще одним хомячком гитхаба?


 >>/1105/
Один хомячок - не субъект, задающий социальный тренд. Субъект - хомячиная масса, её коллективное волеизъявление. И управляется это волеизъявление не личным решением одного или даже сотни хомячков, а пропагандой, направленной на миллионы. Ну, ты и сам понимаешь, что ничего не изменишь, даже если убедишь всю аудиторию эндача не пользоваться гитхабом, вместо того, чтобы вырабатывать навыки работы во враждебной среде. Аудитория пострадает, а гитхаб - нет.

https://youtube.com/watch?v=sxo33gsDenA
GNU Free Document License — это свободная лицензия первоначально разработанная для документов с мануалами для программного обеспечения. Начиная с 15-го октября 2018 года её решили запретить на проекте Викисклад. В этом видео я описываю лицензию и причину данного решения. ЛИЦЕНЗИЯ В отличие от моих прочих видео, я принял решение, что было-бы хорошо распространять это не только под моей стандартной лицензией CC-BY, но также под лицензией GNU FDL 1.3. Вы можете выбрать лицензию на ваш выбор.

Требуются добровольцы в решении проблемы раскрытия реальной ОС через User-Agent.
От вас нужно умение сносно писать по-английски. Понадобится аккаунт аккаунт в любой социальной сети или UGC площадке с высокой посещаемостью.

Нужно привлечь внимание к проблеме и неадекватному отношению к ней со стороны разработчиков. Сначала составляем текст на русском, потом переводим на английский и запускаем в распространение.



Блять, это какой-то полный пиздец.
Чтобы опубликовать расширение на AMO, надо пройти гуглокапчу. НО ОНА, СУКА, НЕ РАБОТАЕТ. Зеленая отметка на чекбоксе показывается,  но после клика на Submit, пишет что КАПЧА РЕШЕНА НЕВЕРНО.

А настоящий пиздец начинается дальше, потому что СООБЩИТЬ ОБ ЭТОЙ ОШИБКЕ НЕВОЗМОЖНО. Либо гитхаб, на который с тор браузера не попадешь, либо на https://discourse.mozilla.org/c/add-ons , на который без 2FA токена вообще хер зайдешь.

Такого беспредела себе даже Гугл не позволяет. Пиздец, я горю.

 >>/1126/
А может гугл не задумывается о тороюзерах, как и мозила, просто так получилось что мозилин слегка другой стек говнотехнологий мешает тору


 >>/1125/ 
Володя, ты? Помнишь меня? Я твой одноклассник. Я узнал тебя по твоим шизоидным словам и высерам. А помнишь, как мы всем классом нассали тебе в кружку в третьем классе, на сладкоежке? Ты ещё выпил, облизнулся и попросил добавки. А потом тебя пришёл забирать твой отец, тот самый дворник, который на Вернадского изнасиловал собаку и получил условный срок за то, что украл плавленный сырок в магазине. Он зашёл в класс, все стали смеяться, а ты обосрался под себя от стыда, а потом сказал, что всю жизнь будешь ненавидеть дворников, но в 9м классе, когда ты пошёл на рейд, чтобы их отпиздить, то они пустили тебя по кругу, после чего тебе наложили на анус восемь швов. Как поживаешь, Володя?

thumbnail of 94cdbc139995ff1fa2f7488f4cc58db0-imagejpeg.jpg
thumbnail of 94cdbc139995ff1fa2f7488f4cc58db0-imagejpeg.jpg
94cdbc139995ff1fa2f74... jpg
(446.02 KB, 1400x814)
 >>/1126/
>  надо пройти гуглокапчу.
>  Такого беспредела себе даже Гугл не позволяет. 

Сегодня пришлось открыть гуглодоки в тор браузере. Это же ебаный пиздец. Без джс не отображается, а джса там тонны, даже поиск по странице они зачем-то свой сделали, надо ли говорить о том как это всё тормозит? Желаю гуглопидорасам смерти от рака очка пизды.

 >>/1143/
> ебаный пиздец
Это то, что приходится открывать гуглдоки. Что огромное количество разработчиков СПО использует дерьмо вроде гуглдоков и гитхаба и всем в общем-то похуй.

 >>/1143/
>  надо пройти гуглокапчу.
>  Такого беспредела себе даже Гугл не позволяет. 
Там проблема была не в самой гуглокапче, а в криворуком способе ее установки на сайте AMO. Сейчас это уже исправили.
> Сегодня пришлось открыть гуглодоки в тор браузере
Там же анальная регистрация через телефон, нахуа оно надо?
Заведи себе фейкомыльце на яндесе, там нахаляву даетя M$ Office Online с хранилищем на ядиске.

 >>/1148/
Тащемта у гитхаба есть опенсорсные альтернативы, которые можно развернуть на своем сервере.

Саботажная команда даже не скрывает своих намерений:

> Mozilla intends to upstream a patch from Tor that will definitively violate the spec. We intend to match Tor's behavior of reporting one system via the HTTP Header no matter what platform the user is on; but report the correct platform in the navigator object in Javascript.  This is Tor #26146 and https://gitweb.torproject.org/tor-browser.git/patch/?id=511d1d8

> So we could use this bug to resolve this issue; but it's more likely we will wontfix this in favor of a new bug dealing strictly with the behavior we intend to enable.

https://bugzilla.mozilla.org/show&#95;bug.cgi?id=1499478#c4



 >>/1210/
1) Это какие?
2) Других вариантов-то и нет, разве что ш2з, но для клирнета он неоч, да и у него есть признаки подзалупности, по крайней мере у ш2зв.
3) Подзалупность американская, и хоть американские ловцы педофилов с пидорашьими ещё недавно дружили, я читал, всё-таки мне кажется что тором запрягают высшие инстанции и делиться секретами с отсталой парашей третьего мира они не будут.


Кто-нибудь собирается обсуждать тот факт что в тор браузере удалённо был выключен носкрипт?

 >>/1210/
Мы не мыслим так типа "это - безопасное, а вот это - нет". Тор - лучший анонимайзер, что сейчас есть. Да, признаки подзалупности есть.
 >>/1213/
Ш2з даже браузера не поставляет. Очень маленькая сеть.

 >>/1502/
> Кто-нибудь собирается обсуждать тот факт что в тор браузере удалённо был выключен носкрипт?

Тоже удивился, что в обоих /ca/ об этом молчат. Но это мозиллы косяк, у неё сегодня вообще все аддоны отвалились. Скоро должны исправить надеюсь.
https://www.opennet.ru/opennews/art.shtml?num=50623

 >>/1506/
Разрабы торбраузера не выпилили реквесты на серв мозиллы  - их косяк.
Сам фаерфокс это такой телеграм от мира браузеров, с мозиллы спроса и нет. А вот разрабы торбраузера накосячили.

Расширение, реализующее описанные здесь  >>/824/ идеи (и не только их), скоро будет опубликовано.

Раздельная настройка прав доступа для скриптов уже сделана, проверена и работает. Можно ослеплять скрипты аалитики, не блокируя их загрузку.
Планируется сделать:
1. Изоляция данных, полученных от привелегированных Web API, от непривелегированных скриптов (почти сделано, осталось потестировать как следует).
2. Возможность разделения Global Environment для скриптов и обработка HTML-атрибутов для их настройки. На самом деле, существующего  WebExtensions API достаточно для реализации данной фичи, исходники браузера патчить не нужно.
Но есть проблема с одним CSP заголовком, которая в процессе решения.
3. Добавить возможность загрузки пользовательских настроек прав доступа для скриптов (аналог списков фильтров для адблока).
4. Предотвратить оповещение скриптов веб-контента об ошибках HTTP-запросов, вызванных адблокерами (ERR_BLOCKED_BY_CLIENT), в том числе для Fetch/XHR запросов. Как бы этим должны были озаботиться сами разработчики адблокеров, но ждать когда они соизволят это сделать, совсем не хочется. Поэтому будет у меня.






Post(s) action:


Moderation Help
Scope:
Duration: Days

Ban Type:


156 replies | 5 file
New Reply on thread #556
Max 20 files0 B total