В свете угрозы повсеместного распространения слежки в Сети, инженерный комитет IETF (Internet Engineering Task Force), занимающегося развитием протоколов и архитектуры сети Интернет, предложил (http://www.technologyreview.com/news/521856/group-thinks-ano.../) разработчикам анонимной сети Tor (https://www.torproject.org/) подготовить интернет-стандарт на базе заложенных в Tor технологий. Подобный шаг поможет расширить область применения технологий Tor и выступит стимулом к внедрению методов анонимизации трафика в различные приложения и продукты. В настоящее время IETF уже работает над более обширной стандартизацией средств шифрования трафика в сети (например, шифрование будет применяться (http://www.opennet.me/opennews/art.shtml?num=38424) по умолчанию в HTTP/2), но данные меры оценены как недостаточные.
Разработчики Tor пока окончательно не определились и взвешивают все "за" и "против". С одной стороны стандартизация сулит такие преимущества как легализация технологии и привлечения дополнительных сил для проверки и разработки. На другой чаше весов наличие риска потери контроля над технологиями и искажения первоначальных идей, а также трата разработчиками значительных ресурсов на переработку всего сделанного и объяснение мотивов тех или иных решений.URL: http://www.technologyreview.com/news/521856/group-thinks-ano.../
Новость: http://www.opennet.me/opennews/art.shtml?num=38557
Тор не нужен, когда есть i2p.
Не нужен ты.
Вы все здесь вообще-то не нужны.
"Мы" ты хотел сказать?
Тебе не нужны, мне нужны. Столько метана зазря пропадет что ли...
Полностью согласен, бестолковые аноны не нужны.
Ну так умри.
i2p отдельная сеть со своими ресурсами.
tor же нужен для хождения по интернетам.
Дело в том, что Тор скомпрометирован и в хвост, и в гриву, поэтому я бы не стал на него полагаться как на образец сетевого прайваси.
мб вы как то аргументируете?
К примеру, сервера на выходе же. Они знают если не все, то достаточно, чтобы запалить. Вот одна, довольно старая история:
http://www.wired.com/threatlevel/2007/11/swedish-researc/
http://arstechnica.com/security/2007/09/security-expert-used.../Вот еще, посвежее:
http://arstechnica.com/tech-policy/2013/09/fbi-admits-what-w.../
> К примеру, сервера на выходе же. Они знают если не все, то
> достаточно, чтобы запалить. Вот одна, довольно старая история:
> http://www.wired.com/threatlevel/2007/11/swedish-researc/
> http://arstechnica.com/security/2007/09/security-expert-used.../
> Вот еще, посвежее:
> http://arstechnica.com/tech-policy/2013/09/fbi-admits-what-w.../не силен в буржуйском
*пожал плечами* Ну, что я могу сделать тогда...
И таки шо ви тогда делаете на техническом сайте?
Запалить кого, кто на сайтах без хттпс логинится?
Буковка S в конце сама по себе секъюрности отнюдь не добавляет. На выходном, например, таким образом очень клево устраивать MITM'ы.
Запалить данные можно, а вот от кого и куда идут?
> Буковка S в конце сама по себе секъюрности отнюдь не добавляет. На
> выходном, например, таким образом очень клево устраивать MITM'ы.А сертификат проверить что, нет?
MITM можно провести так, что клиент даже не прочухает. Особенно если у тебя все Authorities в заднем кармане.
Вот не надо срать FUD'ом. Есть условия при которых можно провести MITM, есть при которых нельзя - так и пишите весь список. С пространной болтовнёй типа "секъюрности отнюдь не добавляет" вам в детский сад, а не в тему про безопасность.
> Вот не надо срать FUD'ом. Есть условия при которых можно провести MITM,
> есть при которых нельзя - так и пишите весь список. С
> пространной болтовнёй типа "секъюрности отнюдь не добавляет" вам в детский сад,
> а не в тему про безопасность.Вы хотя бы по одной из статей указанных автором выше прошлись бы своим авторитетом в "секъюрности".
Спс.
> MITM можно провести так, что клиент даже не прочухает. Особенно если у
> тебя все Authorities в заднем кармане.Подменив сертификат на подписанный авторитями из кармана, но другой.
Только огорчу тебя: подмену сертификата невозможно не прочухать.
Если браузер не ругается, то клиент не чухает? Прокси же так делают, а чем тор хуже?
> MITM можно провести так, что клиент даже не прочухает.
> Особенно если у тебя все Authorities в заднем кармане.Можно выломать дверь в квартиру болгаркой, что владелец так и не прочухает, особенно если у тебя есть ключи.
поэтому дверь скомпрометирована и в хвост, и в гриву
Докажите мне существование человека, у которого все CA "в заднем кармане"?
> К примеру, сервера на выходе жеИ что? Это всем известно, лечится шифрованием (без него вообще никуда, что с tor что без).
В большей мере - проверкой достоверности сертификата, нежели шифрованием.
> В большей мере - проверкой достоверности сертификата, нежели шифрованием.Аноны к сожалению, туповаты и классиков не читают. Но Брюс еще лет 15 назад - как не раньше - говорил: аутентификация значительно важнее шифрования.
>сервера на выходе жеТ. е. перехват данных ВНЕ сети Tor Вы считаете уязвимостью Tor?
>Вот еще, посвежее:
Если Вы получше бы ознакомились с этой историей, Вы бы знали, что Tor скомпрометирован не был. Суть истории: freedom hosting хранился на каком-то арендованном vps без каких-либо особых предосторожностей со стороны владельца, из-за чего был замечен и взят под контроль фбр. Для деанонимизации посетителей использовалась троянская программа, поражающая уязвимую версию TorBrowser. Я понимаю, что для не сведущего человека уязвимость TorBrowser - это уязвимость Tor, но это не так. Надо отметить, аналогичным образом можно было бы подловить и пользователей I2P.
Вы очень и очень глупы, за словами вы не видите смысла. Даже трафик выходных нод приплели хотя это не уязвимость, а особенность реализации по другому не сделает никто и никогда, потому что такая уж особенность протокола IP. В Tor есть onion для анонимных сервисов.Пока ни одного факта компрометации нету, разве что случайности и ошибки, но при грамотном использовании и настройке даже они не смогли бы ничего сделать.
> К примеру, сервера на выходе же.Да, они знают что вы передаете. Но это недостаток обычного интернета. Скажем, Tor hidden services не обязаны быть подвержены проблеме. Кроме того можно использовать протоколы с шифрованием.
А i2p - некая совсем маргинальная хрень. Требует немеряный костыль на яве, на обычный интернет ни разу не похоже, так что существующий софт работать через него практически не будет. С другой стороны пропустить что либо через тор можно тривиальным torify <whatever> (оценка последствий для приваси ессно на запускающем).
Кстати даже АНБ назвали в своем отчете тор "вонючкой" за то что его невозможно эффективно мониторить. У них были планы понаставить своих узлов, но соотношение затрат к результатам их как-то не порадовало. Были планы просто саботировать, наставив плохо работающие узлы. Но и на этом пути они не срубили огромных успехов.
> У них были планы понаставить своих узлов,
> но соотношение затрат к результатам их как-то не порадовало..Они так тебе сказали? Вызвали ощущение ложной безопасности и даже подталкивают к принятию стандарта чтоб потом собирать данные снова ))
> Вот еще, посвежее:
> http://arstechnica.com/tech-policy/2013/09/fbi-admits-what-w.../Тогда уж можно вспомнить про аппаратные бэкдоры и южные мосты во всём современном железе. И i2p здесь против NSA тоже не поможет. Tor — это лишь средство увеличения приватности, а не достижения её абсолютности. Если цель — скрыть действия от провайдера и локальных наблюдателей, то Tor с ней хорошо справляется.
Разумеется, что вся цепочка от точки выхода из Tor до точки входа на ресурс включительно может быть перехвачена.
как-то, ёптa
Так иди на opennet.i2p Что ты тут в опасных интернетиках делаешь?
> Дело в том, что Тор скомпрометирован и в хвост, и в гриву,
> поэтому я бы не стал на него полагаться как на образец
> сетевого прайваси.Дело в том что во-первых, вы врёте, ибо возможность прослушки трафика на exit-нодах как-бы by design и компрометацией не является, а больше вы, господин диванный эксперт, ничего назвать не осилили.
Во-вторых, "прайваси - не прайваси" уже не важно, когда в сети НИЧЕГО ценного нет. С тем же успехом можно безопасно переписываться с /dev/zero.
Ну, если инструмент предназначен для анонимно-секъюрного хождения по обычным Интернетам, как уже было здесь сказано, и возможность прослушки на выходниках - это by design, на мой взгляд, это говорит, что все-таки на самом деле хреновенький design.
"нет - есть" - это другой вопрос, для другого треда.
> Ну, если инструмент предназначен для анонимно-секъюрного хождения по обычным Интернетам,
> как уже было здесь сказано, и возможность прослушки на выходниках -
> это by design, на мой взгляд, это говорит, что все-таки на
> самом деле хреновенький design.Это дизайн ИНТЕРНЕТА, а не тора. Естественно, что когда кончается тор, и начинается интернет, трафик можно перехватывать. И да, в I2p также, сервисы для бриджевания с интернетами там имеют ту же проблему.
> Ну, если инструмент предназначен для анонимно-секъюрного хождения по обычным Интернетам,
> как уже было здесь сказано, и возможность прослушки на выходниках -
> это by design, на мой взгляд, это говорит, что все-таки на
> самом деле хреновенький design.Ваш взгляд - дилетантский, добавить нечего.
> С тем же успехом можно безопасно переписываться с /dev/zero.Главное, чтобы /dev/urandom не ответил осмысленно.
>> Дело в том, что Тор скомпрометирован и в хвост, и в гриву,
>> поэтому я бы не стал на него полагаться как на образец
>> сетевого прайваси.
> Дело в том что во-первых, вы врёте, ибо возможность прослушки трафика на
> exit-нодах как-бы by design и компрометацией не является, а больше вы,
> господин диванный эксперт, ничего назвать не осилили.
> Во-вторых, "прайваси - не прайваси" уже не важно, когда в сети НИЧЕГО
> ценного нет. С тем же успехом можно безопасно переписываться с /dev/zero.А вот я не иксперт!
http://ru.wikipedia.org/wiki/Tor#.D0.A3.D1.8F.D0.B7.D0.B2.D0...
"не нужен" не нужен
Пока i2p существует только в виде java уродства, не нужно именно оно.
Здесь соглашусь, но подвижки в сторону чистых плюсов уже есть.
> Здесь соглашусь, но подвижки в сторону чистых плюсов уже есть.Ого. Линк?
http://git.repo.i2p/w/i2pcpp.git
Там что-то делалось более года назад, ЕМНИП.
Да, ссылка в i2p мне очень полезна. unzip.zip, блин.
Ну, разработка i2p по возможности в нем и происходит. А что за проблемы?
> Ну, разработка i2p по возможности в нем и происходит. А что за проблемы?Проблемы не имея доступа к i2p скачать репу роутера i2p из i2p чтобы заиметь доступ к i2p? Даже не знаю, сами как-нибудь догадайтесь.
1. Скачиваешь java-роутер i2p
2. Устанавливаешь
3. Настраиваешь браузер
4. Переходишь по ссылке
5. ?????
6. ВЫГОДА
> 1. Скачиваешь java-роутер i2p
> 2. Устанавливаешь
> 3. Настраиваешь браузер
> 4. Переходишь по ссылке
> 5. ?????
> 6. ВЫГОДАТы идиoт? Я изначально не хочу устанавливать java-роутер i2p, мне нужен НОРМАЛЬНЫЙ роутер.
Впрочем пока ты тупил, я нашёл нормальное зеркало. Как-то убого. Разработка весма спорадическая, документации нет, доверия тоже нет.
Ну так я что, обещал тебе готовый роутер?
Я просто сказал, что в этом направлении ведется работа, готового продукта я тебе не сулил.
> Ну так я что, обещал тебе готовый роутер?
> Я просто сказал, что в этом направлении ведется работа, готового продукта я
> тебе не сулил.Я и не просил. Я просил нормальную ссылку, но ты даже её дать не осилил.
Веди нас, Моисей! ))
> Да, ссылка в i2p мне очень полезна. unzip.zip, блин.Keyboard not found. Press F1 to continue...
он не работает, 3 раза проверял. Ну нет ему места. Давайте лучше альтернативный нетворк самоорганизующийся, вот это дело будет.р
> Тор не нужен, когда есть i2p.i2p убожество. Нужна hyperborea.
Поясни за Hyperborea, не слышал никогда.
> Поясни за Hyperborea, не слышал никогда.google://cjdns
Че-то как-то на Netsukuku немного смахивает, те тоже бесконечный мэш хотели.
> Че-то как-то на Netsukuku немного смахивает, те тоже бесконечный мэш хотели.Вы немного смахиваете на доморощенного криптофрика.
> Тор не нужен, когда есть i2p.Только i2p требует немеряного рантайма явы и сделан не совместимо с обычным интернетом, так что обычный софт в общем случае через него работать не будет. Что с ним таким хорошим делать с такими свойствами - малопонятно, если честно.
Ты забыл привести такие же ссылочки про палево i2p, юнец. Там точно так же все палится. Искать для тебя не буду, раз ты сам не удосужился. Гуляй.
Окей, давайте я прекращу переброски какашками с местными, и в данном конкретном споре признаю за собой поражение.
У всех, кто указал мне на ошибки, прошу извинения, и благодарю за аргументы. Безусловно, это не касается тех, кто сразу перешёл на личности.
Я был не в лучшей форме, когда начал этот спор.
> Окей, давайте я прекращу переброски какашками с местными, и в данном конкретном
> споре признаю за собой поражение.
> У всех, кто указал мне на ошибки, прошу извинения, и благодарю за
> аргументы. Безусловно, это не касается тех, кто сразу перешёл на личности.
> Я был не в лучшей форме, когда начал этот спор.Удивительный Вы человек.
Если Вы тролль, то зачем признавать свои ошибки и прекращать переругиваться?
Если Вы не тролль, то зачем начинать спорить о том, в чём Вы не разбираетесь?Чего-то я в интернетах не понимаю.
>Тор не нужен, когда есть i2p.Ага, Java не нужна.
Если Tor сделают стандартом, то в него встроят DRM — плавали, знаем.
А как же гнунет и тому подобное? Это же православней - оно от фсф.
Tor - это случайно не та сомнительная разработка ведомств СШвА? Ну что ж, интернет-публику можно только поздравить с высоким уровнем идиотизма и наивности!Овцы опять идут под защиту к волкам. Теперь это стандарт, о как.
"Не можешь победить - возглавь, не можешь возглавить - проспонсируй." (с)
Meshnet лучше
Таки да, интернеты без Торы некошерны.
На этот вопрос нужно посмотреть с точки зрения свободы. Эта статья очень подходит:http://www.gnu.org/philosophy/udi.ru.html
Если Тор станет стандартом, это позволит создавать закрытые реализации. Напрямую это не сказалось бы на количестве свободных программ. Но косвенно это привело бы к снижению количества за счет того, что поставило бы перед искушением миллионы пользователей GNU/Linux, которые не приучились настаивать на свободе ради собственного блага. В той степени, в какой общество начало бы поддаваться искушению, мы стали бы двигаться к применению несвободных реализаций вместо написания свободных. Но для чего призывать сообщество быть слабее, чем необходимо? Зачем создавать ненужные затруднения для будущего свободного программного обеспечения? Поскольку стандарт Тор ничем нам не полезен, лучше от него отказаться.
При таких последствиях неудивительно, что IETF начала искат в сообществе Linux помощи. Как богатая и эгоистичная компания подходит к сотрудничеству в сообществе? Конечно, она просит подачки. Попросив, она ничего не потеряет, а мы можем обмануться и сказать “да”.
Сделать эти работы полезными можно было бы, например, внеся поправку в сам стандарт. клоун Стаканчик предложил, чтобы все созданные по стандарту реализации Тор являлись свободными программами. Это было бы идеально. Даже если эта реализация будет не свободна, это, по крайней мере, предоставит нам сведения, необходимые для написания свободной реализации.
IETF мог бы также сделать что-нибудь вне работ по стандартизации Тор, чтобы помочь сообществу свободного программного обеспечения.
Одна из трудностей в любом сотрудничестве с IETF по состоит в том, что сначала мы сделали бы свою работу, а отдача со стороны IETF растянулась бы на долгий срок. Фактически мы предоставили бы IETF долгосрочный кредит. Но пожелала бы ли компания продолжать выплачивать свой долг? Возможно — если у нас будет письменный договор, который нельзя обойти; в противном случае мы не можем на это рассчитывать. Вероломство корпораций хорошо известно; люди, с которыми мы имеем дело, могут быть добросовестны, но их решения могут переменить сверху, этих людей даже могут в любой момент заменить на других. Даже высшее руководство, владеющие большей частью акций, может смениться после продажи компании. При любых соглашениях о совместной работе с корпорацией требуйте письменных обязательств.
Клоун предложил, все посмеялись. Но ведь здесь не цирк.
видать фашисты-voyeurist'ы достали даже стандартизаторов Интернета.ппц, конечно, мы дожили, когда федеральные законы идут против конституции;
статья УКРФ 273, нацеленная якобы против malware, spam'а и botnet'ов, используется только чтобы сношать мелких "продавателей" Windows, Photoshop'ов и 1С;
статья УКРФ 274, нацеленная якобы против саботажа линий связи, вообще втоптана в землю уродами, насильно заставляющими связистов угрозами правительства совершать DNS spoofing/poisoning и MitM против своих клиентов;
а Министр Связи смеётся над попытками общественности добиться отмены этих антигосудартсвенных законов.
и, конечно, не обошлось без насажденцев моралей, теперь при министерствах, всегда готовых указать, как правильно жить, а теперь, и на какое порно подрочить (imageboard'ы с _нарисованными картинками_ нынче "блокируются" один за другим, если что). зато насильники и sms-лохотронщики как делали свои дела, так и делают, полезное распределение ресурсов, чтож.
А админы-ренегаты радостно кидаются подлизывать властям. И, ЧСХ, их значительно больше половины. С шести до девяти они яростно осуждают на опеннете политику властей, а с девяти до шести ее реализуют - так же с воодушевлением. И даже не стесняются обсуджать это здесь же - после трудового дня. М? Как же так-то?
> с воодушевлением. И даже не стесняются обсуджать это здесь же -
> после трудового дня. М? Как же так-то?Почитайте обсуждения на NAG-е, будете ещё больше удивлены. Участники обсуждают как бы подешевле и потехнологичнее подстелиться, да ещё первее всех.