Представлен (http://www.subgraph.com/orchid.html) первый выпуск проекта Orchid, в рамках которого подготовлена альтернативная реализация клиента и библиотеки для работы в анонимной сети Tor. Orchid написан на языке Java с использованием спецификаций (https://www.torproject.org/docs/documentation.html.en) на протокол и архитектуру сети Tor. Код распространяется (https://github.com/subgraph/Orchid) под лицензией BSD. Целью создания проекта была проверка полноты спецификаций Tor и создание эталонной реализации на языке Java, пригодной для бесшовной интеграции поддержки Tor непосредственно в Java-приложения.Поддерживается работа на любых системах c Java, а также работа на платформе Android. Возможна работа в форме обособленного клиента Tor с организацией работы приложений через прокси SOCKS5. Orchid также может быть использован в качестве библиотеки, позволяющей задействовать возможности сети Tor в приложениях, написанных на Java и таких базирующихся на JVM языках как JRuby, Clojure и Scala.
URL: http://www.subgraph.com/orchid.html
Новость: http://www.opennet.me/opennews/art.shtml?num=38581
Java в системе, особенно на виндовсе, на пользу анонимности не пойдёт.
почему это?
Оракловцы дыры своевременно не закрывают, вендопользователи не своевременно обновляют. Даже Мозилла яваплагин заблокировала.
> Оракловцы дыры своевременно не закрывают, вендопользователи не своевременно обновляют.
> Даже Мозилла яваплагин заблокировала.Поднимал недавно тему тут http://forum.ubuntu.ru/index.php?topic=234367.msg1835529#msg...
насчет безопасности OpenJDK.
Вот думаю, ведь все лучше поставить OpenJDK вместо обычно Оракл-Джавы, в плане отсутствия приприетарности и вроде как должно быть побезопаснее?
Но вот вопрос, что лучше выбрать OpenJDK 6, которую RedHad пилят, но для кот. не приходят обновления от Каноникал или OpenJDK 7, которая от Оракла, но для кот. приходят обновления от Каноникал?
>Но вот вопрос, что лучше выбрать OpenJDK 6, которую RedHad пилят, но для кот. не приходят обновления от Каноникал или OpenJDK 7, которая от Оракла, но для кот. приходят обновления от Каноникал?Ага, в доме который построил Джек
>>Но вот вопрос, что лучше выбрать OpenJDK 6, которую RedHad пилят, но для кот. не приходят обновления от Каноникал или OpenJDK 7, которая от Оракла, но для кот. приходят обновления от Каноникал?
> Ага, в доме который построил ДжекТо есть вы считаете, что все Джавы, как оракловская, так и обе ветки OpenJDK - все не заслуживает доверия в плане безопасности?
Разумеется. Defective by design.
Какое отношение имеют уязвимости выхода из песочницы плагинов к ПО в stand-alone jvm, которое и так запущено вне этой песочницы?
Как обычно: поругал жаву - повысил чсв. А в вопросе разобраться? "Не, это не ко мне".
Обычно при установке одного ставится и другое. Я предпочитаю жабу в системе не держать без необходимости.
> Какое отношение имеют уязвимости выхода из песочницы плагинов к ПОА вы таки полагаете, что все уязвимости жабы подпадают под эту формулировку?
> почему это?Потому что оракл тормозит с обновлениями и чинит дыры десятками. Ну а если у вас в системе десятки дыр - вам просто насуют через них троянов и спайвари при удобном случае, и толку то тогда с вашего Tor, если враг может еще на подходе к сетевке данные хапнуть? :)
Теперь ждём реализаци i2p на С.
Кстати пилят.
На c++ / boostЭто две большие разницы, как говорят в Одессе.
Конечно. На C очередной гном получится.
> Конечно. На C очередной гном получится.Срочно запретить С и расстрелять всех разработчиков на этом языке!
мечты-мечты...
> мечты-мечты...Да, пусть мечтатели для начала напишут хотя-бы сколь-нибудь работоспособное и востребованное ядро ОС на чем-то еще. А то грозилась синица море поджечь. Аж с 70-х годов прошлого века поджигает...
>> мечты-мечты...
> Да, пусть мечтатели для начала напишут хотя-бы сколь-нибудь работоспособное и востребованное
> ядро ОС на чем-то еще. А то грозилась синица море поджечь.
> Аж с 70-х годов прошлого века поджигает...работоспособное есть.. востребованное тоже. Только кем востребованное, и почему непопулярное - другой вопрос.
> работоспособное есть.. востребованное тоже.А, забыл: просьба обойтись без идиoтcких выбиваний скидок и дешевых отмазок.
> Только кем востребованное, и почему непопулярное - другой вопрос.
Да, я как раз об этом. Понятное дело что можно подогнать определения востребованности и работоспособности до "работает на 10 машинах на планете -> востребованное". Но это уже жульничество.
жульничество - это искать распространённость в качественных вещах.
> жульничество - это искать распространённость в качественных вещах.Жульничество - это набивать себе цену голосновными утверждениями. В том числе и насчет качества.
>> жульничество - это искать распространённость в качественных вещах.
> Жульничество - это набивать себе цену голосновными утверждениями. В том числе и
> насчет качества.Будь по твоему. Замечу лишь что ось уже написали, которая в своих кругах востребована. Так с чего мы там начинали? :D
> Кстати пилят.увы, нет. только бесполезное говно на цпп11.
> только бесполезное гoвно на цпп11.Лучше чем ява. Но да, хуже чем просто си.
>> только бесполезное гoвно на цпп11.
> Лучше чем ява.ни разу.
Супер новость, спасибо большое! Как раз то, что нужно :) Буду ковырять. Жаль в maven не выложили, но это мелочи.
>> Целью создания проекта была проверка полноты спецификаций TorЭто, чтобы IETF включила Tor в стандарт интернет?
Очередной NIH? То же самое, но на любимой ламповой жабке. Тьфу. И это пока нормальные люди переписывают всё _с_ жавы.
Tor browser передаёт кучу информации о браузере, ОС и какой страницы я перешёл на этот сайт( Referer ). Так что думаю им пользоваться очень небезопасно с точки зрения анонимности!
Например я сижу в социальной сети под тором, друг мне присылает ссылку и я открываю её и перехожу на какую-то страницу в Интернете где разрешены анонимные комментарии, я думаю,что я анонимем напишу как думаю, а на самом деле я сообщу этому сайту ссылку на свою страничку в соцсети,по которой найти меня раз плюнуть даже владельцам сайта(которые могут выставить сайт с "мёдом". Например как Якименко запустил сайт типа гражданской журналистики ridus.ru :)
Проверить какую информацию знает каждый сайт в Интернете о вашем Ip, браузере,операционной системе можно по ссылкам ниже. Но именно каждый, а только эти два. Кому ни скажу, все думают, что это какие-то уникальные сайты,которые хранят информацию о некоторых компьютерах в сети :)
https://whoer.net/extended или здесь менее подробно http://whatsmyuseragent.com/
А ещё в торе включен javascript, по которому можно даже узнать не только операционную систему, но даже разрешение вашего экрана и размер окна браузера.
Например, в моём браузере был отключен Referer и попробовал отослать написанное выше сообщение, не дал сайт -ему этот referer нужен... Пришлось другим браузером отослать...
Это сообщение это сайта при отключенном referer:
"ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМ
Наиболее вероятной причиной является использование прокси сервера с настройками направленными на излишнюю анонимность.Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers" настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers allow Referer").
Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите ее до 6.12, в 6.11 ошибка.
Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg.
Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet Security), могут иметь проблемы с настройками по умолчанию.
"
>[оверквотинг удален]
> Решение для пользователей прокси-сервера squid: убрать из конфига squid "anonymize_headers"
> настройки. (Убрать "anonymize_headers deny Referer" или добавить "anonymize_headers
> allow Referer").
> Решение для пользователей браузера Opera: в настройках "Privacy" проверить состояние галки
> "Enable Referer login". Если не работет Opera 6.11 для Linux, обновите
> ее до 6.12, в 6.11 ошибка.
> Решение для Lynx: убедитесь в присутствии настройки "REFERER_WITH_QUERY:SEND" в /etc/lynx.cfg.
> Пользователи локальных программ фаерволов под Windows (например, NIS - Norton Internet
> Security), могут иметь проблемы с настройками по умолчанию.
> "Навыки анонимного серфинга не сразу приходят, да)))
> Tor browser передаёт кучу информации о браузере, ОС и какой страницы я
> перешёл на этот сайт( Referer ). Так что думаю им пользоваться
> очень небезопасно с точки зрения анонимности!Вот только если вы этого делать НЕ будете - это вас здорово отличает от всех остальных. И стало быть, потенциально деанонимизирует. Вот такой вот парадокс...
Анонимность тора заключается в усложнении прослеживания исходной машины, а вовсе не в скрытии самого факта анонимности. Скажу страшное, тор открыто сообщает, что он тор. Так что твои рассуждения мимо.
> Анонимность тора заключается в усложнении прослеживания исходной машины,Так вот в этом то и грабли. Машин которые НЕ рапортуют о себе версию ОС и прочая - на этой планете не так уж и много, что априори заметно сужает круг поиска.
>> Анонимность тора заключается в усложнении прослеживания исходной машины,
> Так вот в этом то и грабли. Машин которые НЕ рапортуют о
> себе версию ОС и прочая - на этой планете не так
> уж и много, что априори заметно сужает круг поиска.Сужение круга поиска != упрощение поиска.
Например, найти одно дерево в большом поле проще, чем то же дерево в небольшом лесу.
> Tor browser передаёт кучу информации о браузере, ОС и какой страницы я
> перешёл на этот сайт( Referer ). Так что думаю им пользоваться
> очень небезопасно с точки зрения анонимности!
> Например я сижу в социальной сети под торомНе забудь ещё VPN и пару проксей сверху набросить.
> Tor browser передаёт кучу информации о браузере, ОСАга, например пишет, что я работаю под win7. Подозреваю, что как раз семерочкой ты и пользуешься, поэтому тебе и кажется, что он тебя палит :)
> Например я сижу в социальной сети под тором, друг мне присылает ссылку и я открываю её и перехожу на какую-то страницу в Интернете
Ну извини, анонимность требует наличия мозга, а если его нет, то никакие программы и технологии не помогут. А вот если был бы у тебя мозг,то ты мог бы прочитать и понять инструкции для чайников на сайте tor.
> Например я сижу в социальной сети под тором,Ты свой логин ввел, баклан. Нивелировав наличие тора. А уж с каких айпишников заходили на этот логин - не проблема посмотреть. Наверняка не только через Tor. Кроме того, можно просто спросить твоих друзей в социалочке "а что это за кекс?". В зависимости от того кто вопрошает и кто отвечает - есть шанс что тебя сдадут как стеклотару.
> Это сообщение это сайта при отключенном referer:
> "ОШИБКА ПУБЛИКАЦИИ (сработала защита от попыток осуществления нештатных
> операций с форумом) - СВЯЖИТЕСЬ С АДМИНИСТРАТОРОМПрисылай реферер содержащий опеннет. Видимо защита от спамботов которые постят формы вообще со стороны.
> Ты свой логин ввел, баклан. Нивелировав наличие тора. А уж с каких
> айпишников заходили на этот логин - не проблема посмотреть. Наверняка не
> только через Tor. Кроме того, можно просто спросить твоих друзей в
> социалочке "а что это за кекс?". В зависимости от того кто
> вопрошает и кто отвечает - есть шанс что тебя сдадут как
> стеклотару.Все проще. Уважающие себя социальные сети уже давно поставили своих юзеров раком, заставив спалить номер мобилки. А пробивается он элементарно.
Нет, все делалось ради вот этого:
>работа на платформе Android
https://play.google.com/store/apps/details?id=org.torproject...
Не то?
Вообще-то он там и так работает
Сам не смотрел, но на флибусте месяца два назад была дискуссия, как запустить тор на андроиде. Резюмировали, что пока одни глючащие бета-версии.
Всё отлично работает, рут только нужен.
И ещё там с новыми версиями Андроида и selinux какая-то фигня, народ пишет, что ядра меняет. Не знаю, Циан использую в любом случае.
Несколько сотен *официальных* "задних" ходов найдено в ява за последний год. Только наивный лох будет использовать Ява для обеспечения безопасности
> Несколько сотен *официальных* «задних» ходов найдено в ява за последний год.
> Только наивный лох будет использовать Ява для обеспечения безопасностипривет от наивного лоха и пользователя i2p.
> Несколько сотен *официальных* "задних" ходов найдено в ява за последний год.
> Только наивный лох будет использовать Ява для обеспечения безопасностиПодска'жите пруфы?