После восьми месяцев разработки сформирован (https://blog.torproject.org/new-release-tor-browser-80) значительный релиз специализированного браузера Tor Browser 8.0 (https://www.torproject.org/projects/torbrowser.html.en), в котором продолжено развитие функциональности на базе ESR-ветки Firefox 60 (https://www.opennet.me/opennews/art.shtml?num=48565). Браузер ориентирован на обеспечение анонимности, безопасности и приватности, весь трафик перенаправляется только через сеть Tor. Обратиться напрямую через штатное сетевое соединение текущей системы невозможно, что не позволяет отследить реальный IP пользователя (в случае взлома браузера, атакующие могут получить доступ к системным параметрам сети, поэтому для полного блокирования возможных утечек следует использовать такие продукты, как Whonix (https://www.opennet.me/opennews/art.shtml?num=42115)). Сборки Tor Browser подготовлены (https://www.torproject.org/projects/torbrowser.html.en) для Linux, Windows и macOS.Для обеспечения дополнительной защиты в состав входит дополнение HTTPS Everywhere (https://www.opennet.me/opennews/art.shtml?num=35036), позволяющее использовать шифрование трафика на всех сайтах где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования по умолчанию плагинов в комплекте поставляется дополнение NoScript (http://noscript.net/). Для борьбы с блокировкой и инспектированием трафика применяются fteproxy (https://fteproxy.org/) и obfs4proxy (https://github.com/Yawning/obfs4/tree/master/obfs4proxy).
Для организации шифрованного канала связи в окружениях, блокирующих любой трафик кроме HTTP, предлагаются альтернативные транспорты, которые, например, позволяют обойти попытки блокировать Tor в Китае. Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, WebAudio, Social, SpeechSynthesis, Touch, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, "link rel=preconnect", модифицирован libmdns.
В новом выпуске:
- Осуществлён переход на ESR-ветку Firefox 60 (https://www.opennet.me/opennews/art.shtml?num=48565), в которой прекращена поддержка XUL-дополнений, и новый значительный выпуск Tor 0.3.3 (https://www.opennet.me/opennews/art.shtml?num=48645) (ранее применялись Firefox 52 и Tor 0.3.2). Также обновлены HTTPS Everywhere 2018.8.22, Torbutton 2.0.6, Tor Launcher 0.2.16.3, meek 0.33, obfs4proxy 0.0.7, OpenSSL 1.0.2p и Libevent 2.1.8;- В связи с прекращением поддержки XUL задействован выпуск дополнения NoScript 10.1.9.1 (https://www.opennet.me/opennews/art.shtml?num=47601), переписанный с использованием API WebExtension, но отстающий по функциональности (нет поддержки ClearClick (https://noscript.net/faq#faqsec7) для защиты от Clickjacking и ABE (https://noscript.net/faq#faqsec8) (Application Boundaries Enforcer) для защиты от CSRF).- Полностью переработана презентация для новых пользователей, позволяющая познакомиться с основными принципами и особенностями работы через анонимную сеть Tor. Презентация вызывается через клик на
значок в верхнем левом углу стартовой страницы;
- Улучшен интерфейс выбора узлов подключения к сети Tor для подключение к анонимной сети в странах с жесткой цензурой и обхода попыток блокировки. Для получения списка дополнительных узлов теперь не нужно отправлять запрос по email или открывать сайт проекта, а достаточно ввести капчу в штатном конфигураторе Tor Launcher;
- Началась поставка 64-разрядных сборок для Windows, которые отмечены как более стабильные по сравнению с 32-разрядными сборками;- При открытии локальных файлов через URI file://, их обработка ограничена только отображением содержимого в формате HTML;
- Решены проблемы с работой на Linux-системах с новыми выпусками libstdc++ и обеспечена работа на системах без /proc. В число минимально необходимых зависимостей включена поддержка инструкций SSE2. В системе сборки добавлена поддержка компонентов на языке Rust.
URL: https://blog.torproject.org/new-release-tor-browser-80
Новость: https://www.opennet.me/opennews/art.shtml?num=49233
Надо потыкать х64 версию под вантузом. Долго же они чесались.
> Долго же они чесались.Но вроде же в сентябре дропается (или уже в итоге) с поддержки Firefox ESR 52.X
Уже, именно что. В новости ж написано - на следующий ESR переползли.
>Браузер, по заверению разработчиков, ориентирован на обеспечение анонимности, безопасности и приватности в их понимании.За правки не благодарите.
Ну изложи нам своё понимание анонимности, безопасности и приватности.
Да запросто: не светить свою жизнь онлайн.
А наивно верить что кто-то хочет нашей приватности и анонимности бескорыстно, да ещё с родины такой же бесплатной «демократии» — чушь.
> Да запросто: не светить свою жизнь онлайн.каждый входящий к вам и исходящий от вас IP-пакет "светит вашу жизнь онлайн".
> каждый входящий к вам и исходящий от вас IP-пакет "светит вашу жизнь онлайн".Разумеется. И через тор так же.
И потому личная жизнь должна оставаться личной. Чтобы она не стала товаром, например, держателей ноды.
>> каждый входящий к вам и исходящий от вас IP-пакет "светит вашу жизнь онлайн".
> Разумеется. И через тор так же.не так же. пакеты тор как бы светят использование тор. и все.
ну зочем вы травите?
Спасибо огромное автору за статью.
Пожалуйста.
нечего там ловить в дип-вебе: тащмайоры в площадках по торговле веществами; нескучные мюсли юных мамкиных нацистов; что-то там про биткоины; распространители пиратского контента, один хр^н доступный и в "белом" интернете и так далее. А легальные сайты, доступные по недоразумению только в онионе, выглядят как привет из 90-ых, а по содержанию не дают ничего уникального.
Правильно, таким как ты оленям там нечего ловить, а нормальные люди там деньги зарабатывают.
Бузинессмен в треде, все в укрытие
Ага, кто-то реально деньгу поднимает, а кто-то бивни на опеннете сушит претендуя на рольль внука Евгения Ваганыча.
И почём нынче тонна сушёных бивней?
Длоя тебя 2 биткоина за кило.
https://en.wikipedia.org/wiki/Censorship_of_Wikipedia
https://en.wikipedia.org/wiki/Censorship_of_GitHub
https://en.wikipedia.org/wiki/Internet_censorship_in_Russia
> Censorship of GitHub
> On December 2, 2014, Roscomnadzor blocked GitHub
> Censorship of Wikipedia
> On 18 August 2015, an article in Russian Wikipedia about charas (Чарас), a type of cannabis, was blacklisted by Roskomnadzor
> 2014
> 2015Какая свежая, а главное, актуальная информация! Спасибо. Что, думаю, гитхаб и википедия у меня уже 4 года не открываются? А это оказывается РКН. Я-то думал, они их забанили на пару дней 4 года назад, ан нет, оказывается блокировка продолжается уже 4-ый год.
>актуальная информацияВиновные ещё не сидят в тюрьме.
Да врядли и посадят. Слабо верится.Да кстати а почему никто не говорит, что сам GitHub скурвился?
В ветке дотнета наехали ребята из девов на чела с опенсорса.
Притом так хамовато.. И даже если чел не прав, нельзя было на него гнать на ровном месте.
Собственно я заступился, ответили неадекваты похлеще, чем тот "неадекватный" (с их слов) парень.
Ну собственно итог - меня забанили.GitHub - это потеря 2018 года.
Зачем так многословно? Написал бы просто: "мне божья роса".
Сегодня 2018 год.Если я усну и проснусь через сто лет, и меня спросят, что сейчас происходит в России, я отвечу: "В 2014 году на денек заблокировали гитхаб, в 2015 году на денек заблокировали википедию".
Если я усну и проснусь через двести лет, и меня спросят, что сейчас происходит в России, я отвечу: "В 2014 году на денек заблокировали гитхаб, в 2015 году на денек заблокировали википедию".
Я не понял, что ты сказать хотел. Гитхаб и Википедию на денёк заблокировали - это, конечно, фигня. На месяц - тоже фигня. На год - уже привык. В Китае вон они уже давно забанены, ничего, живут, вторая экономика мира, кто-то у нас даже им завидует.И когда ты проснёшься, ещё учти, что блокировали далеко не только Гитхаб и Википедию, и далеко не на денёк.
> Гитхаб и Википедию на денёк заблокировали - это, конечно, фигня.Фигня. Ты лично пострадал? Какую статью в википедии в тот конкретный день 2015-го года ты не прочел, вследствие чего у тебя отвалилось правое ухо? Какой проект в гитхабе в тот конкретный день 2014-го года ты не склонировал, вследствие чего у тебя отвалилось левое ухо?
> На месяц - тоже фигня.
А вот это уже вранье. На месяц ни один из этих ресурсов не блочили.
> На год - уже привык.
Вранье.
> В Китае вон они уже давно забанены, ничего, живут, вторая экономика мира, кто-то у нас даже им завидует.
Могут себе позволить: у них есть свои национальные аналоги, которые не уступают ничем. В РФ более недели блокировка невозможна в виду отсутствия отечественных аналогов.
> И когда ты проснёшься, ещё учти, что блокировали далеко не только Гитхаб и Википедию, и далеко не на денёк.
Хорошо, учту. Как же я раньше жил, не ведая о том, что пожизненно забанены пиратские рутрекеры и террористические кавказ-центры?
>у них есть свои национальные аналоги, которые не уступают ничемКонечно. А еще у них есть своя, особенная, китайская наука, которая ничем не уступает мировой. Особенная китайская культура, которая ничем не хуже культуры этих смешных круглоглазых лаоваев. И вообще - незачем китайцу знать что-то, что не одобрено правительством Китая, имеющим Небесный Мандат.
"Пусть государство будет маленьким, а население редким. Если в государстве имеются различные орудия, не надо их использовать. Пусть люди до конца своей жизни не уходят далеко от своих мест. Если в государстве имеются лодки и колесницы, не надо их употреблять. Даже если имеются воины, не надо их выставлять. Пусть народ снова начинает плести узелки и употреблять их вместо письма. Пусть его пища будет вкусной, одеяние красивым, жилище удобным, а жизнь радостной. Пусть соседние государства смотрят друг на друга, слушают друг у друга пение петухов и лай собак, а люди до самой старости и смерти не посещают друг друга."
(с) Лао-цзы, Дао Дэ Цзин, 80, пер. Ян Хин-шуна
>кто-то у насУ вас лично?
>даже им завидует.
Чемодан, вокзал, Гуандун.
>тащмайоры в площадках по торговле веществамивертикаль власти
Сижу это я в субботу, шарю в интернете насчет оранжевой темы под bootstrap. И почему-то поисковик каждой пятой ссылкой выдает сайты, при переходе на которые провайдер объявляет о запрещенном ресурсе. Захожу на эти сайты через Тор (в робкой надежде на майоров с веществами, конечно), а там... темы для bootstrap, и только.
Сайтики на дешевых облачных хостингах, которые по решению людей с юридическим образованием запрещены на основании законов, написанных и одобренных людьми с неизвестным, но ни разу не техническим образованием.
Напоминаю, что интернет хоть большой, но диапазон IP-адресов конечен. А список адресов, заблокированных по очередному решению, только растет. Скоро, похоже, гуглить не через Тор будет просто бессмысленно.
Гуглить через тор коряво, потому какгугл нервничает, не понимает откуда я пришёл и долбает капчей :). Уткоискать только.
https://stats.searx.xyz/
https://stats.searx.xyz/tor.html
https://duckduckgo.com/
Всё правильно. А вдруг ты искал, как оранжевую рeволюцию совершить? Это ж всё понимать надо!
можно ссылки? а то я тебе не верю. потому как по памяти вообще ни разу не вспомню чтобы на заблокированный ресурс попадал.
> я тебе не верюЯ в панике, чо.
Кстати, не факт, что заблокированное у меня будет заблокировано у любого другого россиянина. Когда тыкал своего провайдера носом в блокировки явно ни в чем не повинных ресурсов, он в ответ кидал заключения судов, где таки значился айпишник, а не ресурс, и рыдал на тему того, что федеральные провайдеры могут позволить себе возложить болт на подобные блокировки (и у меня на рабочем МТС, действительно, гуглинг куда реже выдает подобные казусы). А вот местных провайдеров ответственные работнички не побрезгуют за ту же самую вольность нагнуть - по закону-то они однозначно обязаны исполнять эти решения судов буквально. Правовое государство же!
ты еще имей в виду такой интересный ньюанс, что далеко не все провайдеры имеют инженеров-по-совместительству или в силу прошлой жизни - админов, и не все они - ростелеком.Поэтому я легко поверю что наш друг-из-жопы "не попадал на заблокированные сайты" - он на них просто не попадал - без всяких баннеров о блокировке и мудрого взгляда товарищмайора с экрана - просто "connection timeout" или "tls session reset" (в модных-современных браузерах на единственноверной библиотеке - без всяких объяснений, с чего это вдруг).
И со словами "б%&$&*@& косорукие, ничего у них нормально не работает", "сайты однодневки, трех дней не живут", открывал вконтактег с котиками. Вряд ли у него есть привычка, в таких случаях, уже тоже даже не глядя на текст ошибки, проверять то же самое с машинки по ту сторону великого файрвола.
> федеральные провайдеры могут позволить себе возложить болт на подобные блокировки
у них просто денег больше, платить штрафы. А мелкий оператор на этом просто закроется (точнее, продастся за копейки домсpy)
да и вообще, как ты себе представляешь сейчас ручное управление блокировкой? Выгрузка автоматическая, адресов в ней овердохрена - ты ее руками парсить собрался, этого блочим, а этого не надо?
будет много жалоб от пользователей - подумаем, может откроем. Но скорее всего - нет.
Именно. Сплошь и рядом такое встречается. Идёшь на какой-то сайт - connection timeout. Открываешь из-под Тора - всё нормально.
> да и вообще, как ты себе представляешь сейчас ручное управление блокировкой? Выгрузка автоматическая, адресов в ней овердохрена - ты ее руками парсить собрался, этого блочим, а этого не надо?Парсить эту выгрузку все равно приходится, хоть и автоматически. Добавить к этому парсингу фильтр "запреты по этому диапазону дропаем, это гугль и амазон, у нас клиенты на гoвно изойдут" - отнюдь не rocket science или какая-то тяжкая ручная работа, как мне кажется.
Тем более, что крупные провы явно решили примерно так с этой выгрузкой и обращаться после погони РКН за Телеграмом, обрушившей кучу связей, критичных для бизнеса.
Привет. 3 миллиона айпишников облака амазона до сих пор заблочены в потугах забанить телеграм. Уже почти 5 месяцев. Верь во что хочешь.
Ну ты вылези из вконтактика-то, по политическим сайтам походи.
У меня на работе Ростелеком заблокировал www.raspberrypi.org, например
И поэтому нужно сидеть на онион-сайтах? Где логика?Я говорил о том, что в даркнете ловить нечего. А не о том, что тор не^нужен.
Смотря что ловить
Вам там нечего, а кто то ежедневно тащит оттуда
Погодите-погодите, а траву что, снова у барыги с соседнего подъезда втридорога покупать?
Сейчас смотрю, Guard узел не меняется, хм.
Это нормально. Считается, что с редкой ротацией Guard меньше шансов попасть на злоумышленника, чем с частой.
В предыдущей версии вроде как было по-другому.
Так же
> Это нормально. Считается, что с редкой ротацией Guard меньше шансов попасть на
> злоумышленника, чем с частой.И легче владельцу Guard отследить в какое время ты привык пользоваться тором.
>> Это нормально. Считается, что с редкой ротацией Guard меньше шансов попасть на
>> злоумышленника, чем с частой.
> И легче владельцу Guard отследить в какое время ты привык пользоваться тором.Необходимо увеличить число промежуточных нод. Причем количество промежуточных нод должно выбираться случайным образом (но например не менее 2 — 3 ноды), ибо TTL, и меняться должно довольно часто.
Поясню. Ушлый провайдер (таких нагнутых сейчас наверняка 101%), может организовать маршрутизацию (и/или управление TTL пакетов) в своих сетях таким образом (и менять с такой периодичностью), что например методом половинного деления (или другими методами) и одновременного изменения маршрутизации (и/или TTL пакетов), можно будет определить конкретного абонента с более менее постоянным трафиком во внутренней сети «нагнутого» провайдера по соответствию TTL пакетов на выходной ноде (если есть возможность осуществить мониторинг трафика). Или я брежу!
>[оверквотинг удален]
> Необходимо увеличить число промежуточных нод. Причем количество промежуточных нод должно
> выбираться случайным образом (но например не менее 2 — 3 ноды),
> ибо TTL, и меняться должно довольно часто.
> Поясню. Ушлый провайдер (таких нагнутых сейчас наверняка 101%), может организовать маршрутизацию
> (и/или управление TTL пакетов) в своих сетях таким образом (и менять
> с такой периодичностью), что например методом половинного деления (или другими методами)
> и одновременного изменения маршрутизации (и/или TTL пакетов), можно будет определить конкретного
> абонента с более менее постоянным трафиком во внутренней сети «нагнутого» провайдера
> по соответствию TTL пакетов на выходной ноде (если есть возможность осуществить
> мониторинг трафика). Или я брежу!Видимо надо исключить из использования выходные ноды той страны из под которой заходишь в Tor. Хотя это добавляет информации к определению пользователя.
Но например можно два раза последовательно занырнуть в Tor и три раза вынырнуть (параллельно, шутка ;)
Там сейчас квантум?
Да, переезжайте на связку из виртуалки, консольного тора и палемуна
Консольный тор в репах как обычно протухший, проще Whonix использовать
Два разных решения , причем последний предпочтителен
палимун это шляпа
> Там сейчас квантум?Там - да, 09.05.2018 18:09 Релиз Firefox 60
https://www.opennet.me/opennews/art.shtml?num=48565
Значит будет тормозить вплоть до выхода новой ESR
Не будет тормозить - там Квантум
61 не тормозит, а 60 тормозит
а 62 с включенным шадоудомом тормозит меньше 61
Ага, причем настолько быстрый, что я таки впервые перелез на него с хромого.
Больше тянуть с этим было уже невозможно, потому что заканчивается поддержка Firefox 52. Жалко что не на Palemoon
Ну использовать тот же Palemoon про браузер, который заикается на секурность - это смешно.
а че так? чем больше LOC - тем меньше секурность. Явно не в пользу Лисы сравнение выйдет.
А это норм, что теперь в user agent теперь не Windows, а реальная OS светится? Вроде бы его менять никто ещё не запрещал.
https://bugzilla.mozilla.org/show_bug.cgi?id=1404608
Можете коротко объяснить, о чем речь по ссылке?
Хотите скрыть ОС - запускайте под виртуалкой. А эта инфа нужна для корректной работы сайтов
Не поэтому, а потому, что "trying to spoof the OS is really hard", почитайте вашу ссылку.А вообще, криворуких сайтостроителей, которые не могут обеспечить корректную работу сайтов, не имея информации о моей ОС, нужно расстрeливать за сараем, а Мозиллу, если она такую практику поощряет, бить тапком по офигeвшей морде.
Есть слишком много способов со стороны сервера задетектить ОС пользователя. Юзер-агентом не отделаешься. Причём, сервер может применять сразу их все. В итоге, получается сразу плюс несколько бит к уникальному идентификатору пользователя:- мы понимаем, что пользователь шифруется
- мы таки определяем его ОСА любой параметр, отличающий пользователя от других пользователей, снижает анонимность. Поэтому, лучше уж пользователь будет среди юзеров такой же ОС, чем среди намного меньшей категории "юзер такой-то ОС + старающийся это скрыть".
> Есть слишком много способов со стороны сервера задетектить ОС пользователя.и все они работают нестабильно, если ос не одна из трех популярных самых последних версий (которые пусть себе детектятся), и находится за натом, поэтому нельзя ее пощупать и приходится гадать на тех пакетах, которые нам уже и так достались.
> - мы понимаем, что пользователь шифруется
> - мы таки определяем его ОСвесьма примерно определяем - "какой-то там линукс", скажем.
это гораздо лучше, чем четко определяющийся tails. Потому что вот _таких_ индивидов - можно по пальцам пересчитать.
но корпорации бабла уже решили все за вас.
Под Линуксом через Tor Browser 7.5.6 зашел на https://ipper.ru/User Agent:
Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0А что видно в Tor Browser 8.0, если не секрет?
с десяткой так:
7.5.6: Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0
8.0.0: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0
(линуксов теперь уже нет)
Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0
Посмотри здесь:
https://www.iplocation.net/find-ip-address
показывает - Linux, а не windows
Да, и пишет:OS:
Windows 7
Разве "анонимная" сеть Тор ещё не скомпрометировала себя?
> Разве "анонимная" сеть Тор ещё не скомпрометировала себя?Не больше, чем анонимные форумные аналитики.
> Не больше, чем анонимные форумные аналитики.Если задаться целью - то многих местных аналитиков вычислить-таки можно.
по айпи или по айкю?
По ICQ
ИМХО, тор уже давно не считают анонимным. Просто сеть проксей (причем - небезопасных).
Ещё лет 6 назад какой-то "исследователь" поднял тор-узел со сниффером и спокойно перехватывал всё подряд. Помню что он отловил там много диплопереписки, что лично меня тогда немного удивило.
А то, что у служб есть огромное количество тор-узлов - давно известный факт.
а причем тут анонимность к безопасности трафика? кто-то анонимно слил переписку именно с целью, чтобы весь мир прочитал? и че?
А https поверх тора уже отменили?
Уже скомпрометировала. Недавно на ксакепе читал, что какого-то 16 летнего хакера посадили, на компе нашли "анонимайзеры". Так что уже, Тор работает только для неуловимых Джо, против всех остальных есть MLAT, расхреначивающий модель угроз тора в пух и прах.
Вкладка General в настройках сломана.
В каком месте то сломана?
Какая ОС и какой сабж (разрядность, локаль)?
С ru-сборки ставится en. Чо такое?
matrixctl verify wwwnode spoof-all now
SSL/PHProxy уже не в моде ?
По Линуксами можно юсерагент ставить - Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0 (такой в 8 для Винды)
После запуска, через минуту начинает мигать все изображения и потом все пропадает в браузере .. Винд-7 32