Разработчики анонимной сети Tor представили (https://blog.torproject.org/blog/tor-browser-605-released) новый выпуск развиваемого проектом web-браузера Tor Browser 6.0.5, ориентированного на обеспечение анонимности, безопасности и приватности. В новой версии устранена уязвимость (http://seclists.org/dailydave/2016/q3/51) (ESR-45), которая пока остаётся неисправленной в Firefox (проблема будет устранена (https://www.mail-archive.com/tor-bugs@lists.torproject....) в обновлениях, намеченных на 20 сентября). Проблема позволяет обойти механизм привязки открытых ключей (Public Key Pinning (https://blog.mozilla.org/security/2014/09/02/public-key-pinning/)), позволяющий явно определить сертификаты каких удостоверяющих центров допустимо использовать для заданного сайта.Уязвимость позволяет (https://bugzilla.mozilla.org/show_bug.cgi?id=1303127) атакующему написать вредоносное дополнение, сформировать для него цифровую подпись в автоматизированном сервисе Mozilla, сгенерировать поддельный сертификат для сайта addons.mozilla.org в любом удостоверяющем центре и подменить трафик с addons.mozilla.org. При осуществлении MITM-атаки злоумышленник может подменить загружаемое с addons.mozilla.org дополнение, добиться выполнения в браузере подставного вредоносного дополнения и получить полный контроль над браузером. Например, можно передать данные о наличии обновления NoScript или HTTPS Everywhere, и при попытке его установки передать вредоносную сборку дополнения.
Важно подчеркнуть, что проблема затрагивает лишь технологию привязки ключей (pinning), а для атаки требуется компрометация какого-либо удостоверяющего центра. Т.е. атака не может быть проведена обычными злоумышленниками, но не исключается, что ей могут воспользоваться крупные спецслужбы для деанонимизации пользователей Tor Browser. Напомним, что в 2011 году в результате взлома (https://www.opennet.me/opennews/art.shtml?num=31678) удостоверяющего центра DigiNotar атакующие смогли получить (https://www.opennet.me/opennews/art.shtml?num=31652) обманный сертификат для домена addons.mozilla.org.
URL: https://blog.torproject.org/blog/tor-browser-605-released
Новость: http://www.opennet.me/opennews/art.shtml?num=45165
Тор браузер собирают в Debian Wheezy, а я чисто для себя делаю свою сборку в CentOS (с работы в социалочки заходить). Подскажите как а). Собирать русский язык б). Сделать так, чтобы моя сборка смотрела обновления на моём сайте (который, правда, ещё нужно поднять)
Охренеть ты вантузоид, прям неожиданно
И давно CentOS - Windows?
браузер самостоятельно следящий за обновлениями на какой-то левый сайт вместо системы управления софтом, использующей репозитории с пакетами — это что? Это вантуз. Естественно, в твоей голове, а не в центоси, да.
#23, чини детектор. Если бы у Зенитара была возможность добавить свой репозиторий в систему, то вряд ли ему был бы нужен Tor Browser. Обычно на рабочих компьютерах у юзеров нет прав админа, и поэтому софт ставится в home и обновляется либо вручную, либо апдейтером, идущим в комплекте.
> #23, чини детектор. Если бы у Зенитара была возможность добавить свой репозиторий
> в систему, то вряд ли ему был бы нужен Tor Browser.
> Обычно на рабочих компьютерах у юзеров нет прав админа, и поэтому
> софт ставится в home и обновляется либо вручную, либо апдейтером, идущим
> в комплекте.зенитарка, залогинься, всё равно я теперь знаю, что ты работаешь винтиком среднего звена в офисе, взял ипотеку на юго-востоке, и дрожишь, чтобы начальник не спалил тебя за просмотром порнухи
«Сборка» не должна искать что-то на сайте. Собирай пакет для свой OS, поднимай репозиторий и добавляй его в пакетный менеджер, обновляй пакетным менеджером. Можешь использовать OBS, он, вроде, умел делать пакеты для CentOS.
> «Сборка» не должна искать что-то на сайте. Собирай пакет для свой OS,
> поднимай репозиторий и добавляй его в пакетный менеджер, обновляй пакетным менеджером.
> Можешь использовать OBS, он, вроде, умел делать пакеты для CentOS.Похоже, этот ненастоящий зенитарка, тот про OBS знал, и подобную хрень не писал бы.
вот все интересно почему при использовании тора капчи чаще всплывают на сатйх чем при исползовании впн, и например музыку в вк через впн нормально слушаю, а если через тор, тодва трека с плейлиста играет и все иророр и ирор на каждой записи следующей, чистиш кеш потом норм, но все равно оч неудобно пришлось впн расширение для хромиум ставить из за такого. Как то можно сделать чтоб тор меньше стопали каптчами или дело не в конфиге?
Дело в отношении к exit нодам тора.
> Дело в отношении к exit нодам тора.но раньше такого не было, даже в прошлом кажется году и вроде в позапрошллом тоже не было, вообще раньше каптч не видел через тор лазая, но спасибо за ответ, понял теперь, предполагал что то подобное.
> но раньше такого не былоА теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/
> А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/спс, почитаю, только если по руски про это есть в сети.
>> А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/
> спс, почитаю, только если по руски про это есть в сети.Слушай, ты уверен, что ты айтишнег? Они вообще по умолчанию по-английски читать обязаны.
>>> А теперь есть. https://blog.cloudflare.com/the-trouble-with-tor/
>> спс, почитаю, только если по руски про это есть в сети.
> Слушай, ты уверен, что ты айтишнег? Они вообще по умолчанию по-английски читать
> обязаны.я не айтишник, но мне нравится идея опенсорц
Точно не знаю как работает тор, но скорее-всего он за эти две песни успевает поменять айпи, а аудиозаписи в ВК привязаны к IP-адресу
> песни успевает поменять айпи, а аудиозаписи в ВК привязаны к IP-адресу) впн на котором сижу, тоже меняет айпи, конечно не так часто и в основном тоько последние цифры адреса, но с музыкой все норм, а вот тору постоянно вылазиет предупреждение сервер не доступен и переключается на следующую запись и с ней такая же история, отправлял в вк поддержку письмо с выводом из инспектора хромиум, где неаписано что нет соединения с таким то адресом песи, они говорят, что пробовали делать то же самое через тор, слушать всмысле песни и у них все нормально работает.
Потому что через тор работают не только пользователи, но и все SEO, качалки, и т.д. А это очень большой паразитный трафик для сайта, особенно если на нем реально есть интересные вещи.
Поэтому многие закрывают этот канал капчей, либо более строгими правилами. Список выходных нод общедоступен, так что при необходимости это может автоматизировать любой админ.
> Потому что через тор работают не только пользователи, но и все SEO,
> качалки, и т.д. А это очень большой паразитный трафик для сайта,
> особенно если на нем реально есть интересные вещи.
> Поэтому многие закрывают этот канал капчей, либо более строгими правилами. Список выходных
> нод общедоступен, так что при необходимости это может автоматизировать любой админ.отличный имха ответ, теперь совсем понятно стало, да, впн юзать продолжу а небо оставим птицам
клоун: да что уж там, пиши сразу "гениальный". Сам бы ты никогда не догадался, что слова "С вашего IP адреса идёт большой траффик, поэтому просим ввести капчу" означают, что с твоего IP адреса идёт большой траффик.
Tor всё актуальнее и актуальнее становится с каждым годом =)
И это прекрасно! АНБ как всегда в попке!
Читайте иногда блог Torproject: https://blog.torproject.org/blog/fbis-quiet-plan-begin-mass-...Я бы не радовался так сильно. Там тоже не идиоты сидят.
Но ведь вместе мы сила?! Подними дома RELAY NODE, и сделаешь сеть Tor мощнее. А если есть возможность арендовать сервер, на котором можно поднять EXIT NODE, то сделаешь мир еще лучше! Мы с братанами так и сделали, и всем совет даем.
Можете с братанами и в этом месте помочь:
OONI - https://ooni.torproject.org/
Можно вкратце для непосвященных - что это?
Открытая обсерватория сетевых помехБесплатное программное обеспечение, глобальная сеть наблюдений для обнаружения цензуры, наблюдения и манипуляции с трафиком в Интернете
"Мы сделали слежку за следящими чтобы выследить когда за нами будут следить".
> "Мы сделали слежку за следящими чтобы выследить когда за нами будут следить".Yo dawg, i head you like censorship, so we've set surveillance on censors so you can track down the fact you're being tracked down.
s/head/heard/
Гугл переводчик нормально справляется с переводом:
https://translate.google.ru/translate?sl=en&tl=ru&js=y&prev=...
Тем кто проникся предложением:- https://ru.wikipedia.org/wiki/Tor
- https://en.wikibooks.org/wiki/How_to_Protect_your_Internet_A...
- https://blog.torproject.org/blog/run-tor-bridge-amazon-cloud
- https://cloud.torproject.org/
- https://habrahabr.ru/post/228971/Тем кто задумывается об выходной ноде - читать 5 раз по столько же (три раза в день))
ну и еще паре тройке мест тожи значимых в некатарых кругах ))
Кто в попе то?
Ну отработали очередные уязвимости уже своё, их позакрывали.
Не волнуйся, естественно есть и текущие хорошего уровня, которые тоже спустя значительное вемя закроют, и ты об этом узнаешь. Но хоть повод порадоваться будет у тебя :)
Тебе сказали АНБ в попе.
В попе АНБ, это понятно. А вот у кого в попе, как часто и в каких позах - сильно зависит от числа 0-day уязвимостей того же тора)
я бы вообще сказал вот где нет идиотов так это только там )
Врага вообще вредно недооценивать.
Лучше перебдеть, чем недобдеть!
> Врага вообще вредно недооценивать.
> Лучше перебдеть, чем недобдеть!особенно когда от него не только твоя но и остальные жизни хорошие зависят
А я все равно не могу выйти в инет через Tor в КЗ.
Даже с новыми бриджами полученными через почту.Где затык?
Затык в самом КЗ.
А если серьезно, то используйте ВПН, потом Tor.
В конфигурялке тора есть много способов связи, вы все перепробовали?
Пробовал все!
> Где затык?Скройте сам факт использования ТОРа от провайдера. Юзайте TOR over VPN или (что намного лучше и нередко быстрее) TOR over SSH.
клоун: И давно в нём эта ошибка? Т.е. используя незащищённый браузер я оставался незащищённым. А использую защищённый браузер (который жутко тормозит в работе) я тоже оставался незащищённым.Точнее так: до вчерашнего дня я думал, что я защищён, но был не защищён. Сейчас я думаю что защищён, но это не факт.
Из этой спирали бреда есть выход - использовать IE 5.0. Защищёнными нам всё равно не быть, так зачем нам всё это ПО с багами, нам что багов IE мало?
Ну пройдись по ссылкам багов, не маленький же.
> That means the AMO pins expired on Sept 3 in releases based on 45.3 (see last line)
> The static pins in Firefox 48.0.x expired also, on Sept 10.
Ответ универсальный: этот сок мозга из тебя течёт потому, что ты MSSP. У людей таких проблем с мозгом нет.
клоун: Слышал фразу "Отвечать за базар"? Если ты пишешь программу для рисования кружочков, то рисование кружочков должно выполняться быстро и без ошибок. Остальное как получится.Если ты упираешь в защищённость и безопасность, то эта часть кода должна быть вылизана от и до. И никаких детских ошибок в ней быть не должно по определению.
И я вполне чётко понимаю, что если ключевой функционал глючит, значит он не являлся приоритетом в разработке. Вообще, черезж---пно: когда ключевой функционал не является приоритетным.
Хотя, о чём это я? Здесь же всё по принципу "мне п-х" (это такой перевод "just for fun").
Тебя изнасиловал клоун?
> Тебя изнасиловал клоун?Его давно изнасиловал. Это альтер эго шигораса :)