Slo-Tech - Pri FortConsult so objavili raziskovalni članek z naslovom Practical Onion Hacking: finding the real address of Tor clients. V njem do pokazali, kako je v HTML kodo mogoče vriniti "spletnega hrošča", ki razkrije pravo identiteto obiskovalca (pravi IP naslov). To so storili s pomočjo JavaScripta in Flasha, zaključujejo pa, da je uporaba teh tehnik razmeroma enostavna.
Pri odkriti ranljivosti pa ne gre za ranljivost Tor omrežja, pač pa za ranljivost podpornih programov in programov, ki uporabljajo Tor. Avtorji članka upajo, da bo na podlagi njihove raziskave popravljen podporni program privoxy (ki bo tako zlonamerno kodo sposoben odstranjevati), kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...
Samo za paranoike.
Novice » Zasebnost » Prikaz še enega napada na anonimnost
_n00b_ ::
Javascriptu tako ali tako ne zaupam, uporabljam lisico tak da activex odpade, wtf is java ,edino flash se nisem dol vrgel in DNS serverje sem pozabil...
Malo se, pa bom zdrav paranoik
Malo se, pa bom zdrav paranoik
Vice ::
Znanstveniki pa jaki. Pod najhitrejšo rešitev bi lahko dodali še opcijo za disable mrežne kartice
MrStein ::
Sam sranje, ko že 88% strani ne dela brez JavaShit-a...
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.
Da kukijev ne omenjam.
(sicer sam ne uporabljam Tor)
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.
Da kukijev ne omenjam.
(sicer sam ne uporabljam Tor)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Azrael ::
Zelo zanimivo, kako pozno opažajo, da je Tor samo burka in nekaj kar nikoli ni in ne more delovati, vsaj ne tako, kot nakladajo najbolj glasni agitatorji Tor-a.
Ampak za naivne paranoike je zadeva kot nalašč, odprtokodna in vse kar še paše zraven, samo... US Navy tega skupka nepregledne kode ni šenkala zato, ker so oni tako dobri, ampak samo zato, ker so ugotovili, da je stvar zanič, kar se tiče anonimnosti. Nasprotno, kot trojanec pa je odlična.
Čakam le še na to, da se bo izvedelo, kako gre avtomatično ves zanimiv del prometa (gesla, pravi IPji in podobne reči), preko tega "anonimnega???" omrežja direktno k NSA in podobnim agencijam.
Edit typo
Ampak za naivne paranoike je zadeva kot nalašč, odprtokodna in vse kar še paše zraven, samo... US Navy tega skupka nepregledne kode ni šenkala zato, ker so oni tako dobri, ampak samo zato, ker so ugotovili, da je stvar zanič, kar se tiče anonimnosti. Nasprotno, kot trojanec pa je odlična.
Čakam le še na to, da se bo izvedelo, kako gre avtomatično ves zanimiv del prometa (gesla, pravi IPji in podobne reči), preko tega "anonimnega???" omrežja direktno k NSA in podobnim agencijam.
Edit typo
Nekoč je bil Slo-tech.
Zgodovina sprememb…
- spremenil: Azrael ()
darkolord ::
kot najhitrejšo rešitev pa svetujejo izklop Flasha, Active X, Jave in JavaScripta, uporabo SSL povezav, uporabo tujih DNS strežnikov ...
uporabo interneta, uporabo računalnika,...
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.
ja? s čim?
uporabo interneta, uporabo računalnika,...
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.
ja? s čim?
Zgodovina sprememb…
- spremenilo: darkolord ()
stb ::
Verjetno to v primeru, da je uporabnik v lokalni mreži (za kakim poceni routerjem) pomeni le razkritje lokalnega IPja (eg 192.168.1.3 ipd), kakršnega pač vidi brskalnik in njegovi prirastki (javascript, flash...).
kronik ::
Po mojem mnenju bi moral tor delovati tako, da bi preprosto dodal novi ethernet interface v sistem, tako da bi celi promet potekal preko tega. Ne pa neki proxy-i in podobni crap. Naprimer
Hamachi ima tako narejeno.
Hamachi ima tako narejeno.
poweroff ::
Tor deluje čisto v redu. Seveda je pa v alpha (!!!) fazi testiranja. In tole je pač samo še en bug, ki ga bodo kmalu potolkli.
Oz. če smo natančni, to NI problem Tora, to je problem spremljevalnih aplikacij, ki niso dovol privacy aware. No, tudi te hrošče bodo potolkli.
Oz. če smo natančni, to NI problem Tora, to je problem spremljevalnih aplikacij, ki niso dovol privacy aware. No, tudi te hrošče bodo potolkli.
sudo poweroff
MrM ::
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.
ja? s čim?
Lepo te prosim. Ogromno javascripta na sajtih je odvečnega in bi se dalo ekvivalentno narediti samo s HTML+CSS. Kot najbolj očiten primer lahko navedem dropdown menuje, ki jih še vedno večina dela z javascriptom. Da sploh ne omenjam najnovejšega "hita", ki sem ga npr. zasledil tukaj, da je celotna navigacija narejena z javascriptom/ajaxom.
I have always wished for a computer that would be as easy to use as my
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup
poweroff ::
Za Hamachi sem že slišal. Zadeva je sicer v redu, vendar gre za drug namen kot za Tor (OK, pogrešam tudi source). Res pa je, da je morda princip zasnove Tora malce zgrešen - to pravita tudi avtorja v zgornjem prispevku.
Ampak večino problemov, ki so jih morali rešiti s Torom je po mojem precej preprosto portati na novo zasnovo. Dejansko pa imaš prav - rabil bi posebno virtualno grafično kartico preko katere bi speljal promet. Edini problem je, da za to potrebuješ administratorski dostop...
Ampak večino problemov, ki so jih morali rešiti s Torom je po mojem precej preprosto portati na novo zasnovo. Dejansko pa imaš prav - rabil bi posebno virtualno grafično kartico preko katere bi speljal promet. Edini problem je, da za to potrebuješ administratorski dostop...
sudo poweroff
Osprey ::
Matthai: sigurno si mislil mrežno, ne grafično kartico.
Če mene vprašate, mi Ajax deluje perfektno. No, še bolj kot za web predstavitve, je uporaben za spletne aplikacije, kjer rešuje ogromno težav in omogoča narediti aplikacijo vsestransko uporabnejšo in prijaznejšo. Seveda se te tehnologije (Ajax, JS...) da tudi odlično zlorabiti v namene hekanja, vdiranja v zasebnost.... ampak vseeno prav, da obstajajo - zaradi spletnih aplikacij, ki velikokrat tudi niso mišljene za splošno avdienco in je zato varnost malo manj pomembna, kot pri splošnih web predstavitvah. Zato je na stvar treba gledati širše in ne ožigosati kar vsepovprek.
Če mene vprašate, mi Ajax deluje perfektno. No, še bolj kot za web predstavitve, je uporaben za spletne aplikacije, kjer rešuje ogromno težav in omogoča narediti aplikacijo vsestransko uporabnejšo in prijaznejšo. Seveda se te tehnologije (Ajax, JS...) da tudi odlično zlorabiti v namene hekanja, vdiranja v zasebnost.... ampak vseeno prav, da obstajajo - zaradi spletnih aplikacij, ki velikokrat tudi niso mišljene za splošno avdienco in je zato varnost malo manj pomembna, kot pri splošnih web predstavitvah. Zato je na stvar treba gledati širše in ne ožigosati kar vsepovprek.
Zgodovina sprememb…
- spremenilo: Osprey ()
Looooooka ::
wow...kr vse izklopmo.
bogi pedofili zdej ne bojo mogl javascripta uporablat na toru(ja pedofili je napisu).
bogi pedofili zdej ne bojo mogl javascripta uporablat na toru(ja pedofili je napisu).
darkolord ::
Da sploh ne omenjam najnovejšega "hita", ki sem ga npr. zasledil tukaj, da je celotna navigacija narejena z javascriptom/ajaxom.
in kaj točno je z ajaxom narobe?
in kaj točno je z ajaxom narobe?
poweroff ::
Ja, mrežno sem mislil.
Loooka - saj vendar veš, da so glavni pedofili skriti med desničarji, ne? Republikanec Foley, pa Artiče, pa da ne naštevam dalje.
Tako da počasi lahko nehaš zavajat. Vsako tehnologijo je mogoče uporabiti za dobro ali slabo. Kako bo uporabljena je pa odvisno predvsem od ljudi.
Loooka - saj vendar veš, da so glavni pedofili skriti med desničarji, ne? Republikanec Foley, pa Artiče, pa da ne naštevam dalje.
Tako da počasi lahko nehaš zavajat. Vsako tehnologijo je mogoče uporabiti za dobro ali slabo. Kako bo uporabljena je pa odvisno predvsem od ljudi.
sudo poweroff
Brane2 ::
Hehe. Dobra fora, ena od mnogih. Ravna podobni iz "Snatcha", ko tip maskiranega napadalca vpraša "sinko, kako ti je ime ?"
Skriješ se za Tor, nakar tvoja mašina pošlje ciljnemu strežniku tvoj IP naslov.
Skriješ se za Tor, nakar tvoja mašina pošlje ciljnemu strežniku tvoj IP naslov.
On the journey of life, I chose the psycho path.
Mercier ::
Matthai:
Ampak večino problemov, ki so jih morali rešiti s Torom je po mojem precej preprosto portati na novo zasnovo. Dejansko pa imaš prav - rabil bi posebno virtualno grafično kartico preko katere bi speljal promet. Edini problem je, da za to potrebuješ administratorski dostop...
Če hočeš pri meni pognati Tor rabiš administratorski dostop, oziroma bi to moral izrecno dovolit.
poweroff ::
Brane - točno zato pa rabimo reality testing. V teoriji je Tor izgledal super že v osnutku. Ko pa zadevo implementiraš, se pokaže kup praktičnih problemov, ki jih je treba odpravljati. In to je tisti pravi izziv.
Ravno zato je Tor še vedno v alpha fazi.
Drugače pa Tor clienta na običajni Windows mašini lahko zaženeš brez administratorskih privilegijev. Ravnov tem je čar, da imaš lahko TorPark, ki ga zaženeš iz USB ključa...
Ravno zato je Tor še vedno v alpha fazi.
Drugače pa Tor clienta na običajni Windows mašini lahko zaženeš brez administratorskih privilegijev. Ravnov tem je čar, da imaš lahko TorPark, ki ga zaženeš iz USB ključa...
sudo poweroff
Mercier ::
Matthai, saj rezumem, ampak sem mnenja, da imam običajne windows mašine in, sem sicer dober, nisem pa noben genij, pa to uredim s čisto konvencionalnimi sredstvi in ne veliko dela. Tor ne funkcionira prav dobro kot zaščita pred zoprnim delodajalcem.
MrStein ::
darkolord:
CSS za menije (ja, v IE6 ne delajo ravno najbolj, hvala Microsoft...)
popup-i ---> popup killer (ja, brez popupov bomo, hvala bogu)
form validation - server side (ja, počasneje je; nisem rekel 100% vse isto brez JS, ampak 99% funckcionalnosti, ene pač malo počasneje)
Bistvo je, da bi brez JS tudi 99% stvari delalo (mogoče tu in tam malo počasneje).
Saj zaradi mene lahko imajo JS, samo naj imajo tudi NOSCRIPT, da dela tudi brez ...
Čeprav bi brez JS lahko 99% funkcionalnosti implementrirali.
ja? s čim?
CSS za menije (ja, v IE6 ne delajo ravno najbolj, hvala Microsoft...)
popup-i ---> popup killer (ja, brez popupov bomo, hvala bogu)
form validation - server side (ja, počasneje je; nisem rekel 100% vse isto brez JS, ampak 99% funckcionalnosti, ene pač malo počasneje)
Bistvo je, da bi brez JS tudi 99% stvari delalo (mogoče tu in tam malo počasneje).
Saj zaradi mene lahko imajo JS, samo naj imajo tudi NOSCRIPT, da dela tudi brez ...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
poweroff ::
Heh, za zpornega delodajalca si ogled TCP-over-HTTP ali TCP-over-DNS tunelling
sudo poweroff
Mercier ::
To, da lahko poganjaš kar neki program, skripto iz USB ključka ali od koderkoli se mi ne zdi sprejemljivo za običajno varnostno politiko. Kaj šele, da bi htel najedat.
poweroff ::
Hja, odvisno. Če si tajnica, itak nimaš poganjat česa drugega kot Word. Če si pa razvijalec...
sudo poweroff
MrM ::
in kaj točno je z ajaxom narobe?
Nič ni narobe z ajaxom per se, je pa hudo narobe, ko je le-ta zlorabljen za npr. navigacijo po spletni strani.
Razlogi:
1. Strani se nalagajo dlje in ne hitreje, kot bi pričakoval.
2. Do podstrani ne moreš priti z direktnim linkom, kar je slabo iz večih razlogov, med drugim zaradi indeksiranja iskalnikov.
3. Za tako preprosto stvar, kot je navigacija, potrebuješ javascript, kar je nedopustno. S tem avtomatično odrežeš vse uporabnike, ki imajo javascript izklopljen ali pa uporabljajo brskalnik, ki ga ne podpira (text-only, mobilni telefon,...).
Pa še bi lahko našteval.
Ajax je torej zelo uporabna stvar, ko ga uporabiš za to, čemur je namenjen - namenske aplikacije ali pa izboljšanje uporabnikove izkušnje (s fallback sistemom).
I have always wished for a computer that would be as easy to use as my
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup
telephone. My wish came true. I no longer know how to use my telephone.
--Bjarne Stroustrup
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | FBI raje odstopil od pregona pedofila kakor razkril ranljivost ToraOddelek: Novice / Tožbe | 14646 (12091) | WildChild |
» | Huda ranljivost v FirefoxuOddelek: Novice / Varnost | 10558 (5940) | M.B. |
» | Oracle opušča Java PluginOddelek: Novice / Brskalniki | 22277 (19580) | andromedar |
» | JavaScript ugrabljanjeOddelek: Novice / Zasebnost | 3818 (3080) | Matevžk |