The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от opennews on 18-Окт-16, 10:00 
Опубликован (https://blog.torproject.org/blog/tor-0289-released-important...) корректирующий выпуск инструментария Tor 0.2.8.9, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость (https://bugs.torproject.org/20384), которая позволяет удалённому атакующему инициировать крах скрытого сервиса, шлюза, узла авторизации или клиента Tor. Проблема вызвана некорректной обработкой данных, содержащих символы с нулевым кодом. Исправление также вошло в состав тестового выпуска 0.2.9.4-alpha (https://blog.torproject.org/blog/tor-0294-alpha-released-imp...).


URL: https://blog.torproject.org/blog/tor-0289-released-important...
Новость: http://www.opennet.me/opennews/art.shtml?num=45334

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +30 +/
Сообщение от Криптоанон on 18-Окт-16, 10:00 
Tor полезен в наши темные времена, когда свобода слова и Конституция находятся под запретом, а за отстаивания своих прав тебя называют экстремистом. Можно вопрос слегка не по теме? DISQUS - система комментариев - те, кто встраивает ее на свой сайт, могут видеть IP комментирующих? Или эти IP доступны только владельцам DISQUS?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  –21 +/
Сообщение от Андрей (??) on 18-Окт-16, 13:17 
А что не так с Конституцией? Прочитайте её внимательно, вдумчиво. Именно то, что написано, а не то, что вы ожидаете прочитать...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 21:32 
Вас уже заминусовали, но всё таки отвечу. То, что происходит, не соответствует ни букве, ни духу Конституции. Впрочем, подмена понятий и фанатизм сейчас царствуют во всём мире.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

2. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  –1 +/
Сообщение от Leap42 on 18-Окт-16, 10:00 
Ещё раз объясните мне, почему Tor называют анонимной сетью после того, как Сноуден прямо сказал: "выходные ноды контролируются спецслужбами"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +21 +/
Сообщение от Аноним (??) on 18-Окт-16, 10:04 
Ты либо глуп, либо не понимаешь как работает сеть Tor. АНБ может контролировать 1-2% выходных нод, и это ничего не решает. Я в год поднимаю по 2-4 ноды (конечно физически они находятся в разных странах), и делаю таким образом сеть Tor более стойкой. Можно конечно поверить в байки, что АНБ поднимает по 100 нод в год, но очень сомнительно. Вообще почитай на досуге: https://geektimes.ru/post/277578/
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

25. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +3 +/
Сообщение от Leap42 on 18-Окт-16, 17:10 
что кроме ваших сомнений мешает АНБ поднимать по 100 нод в год?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

26. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 18:42 
>  Можно конечно поверить в байки, что АНБ поднимает по 100 нод в год, но очень сомнительно.

Угу, массовая слежка АНБшниками раньше тоже считалось байкой. Типа, ресурсов не хватит.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

33. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от 5kbps (ok) on 19-Окт-16, 02:49 
> curl -S https://check.torproject.org/exit-addresses | grep ExitAddress | wc -l
> 1150

Всерьёз думаешь, что АНБ неосилит выделить каких-то 1000 серверов на нужды страны? Это же стоит жалкие копейки.

Впрочем, это всё касается только перехвата http-трафика обычных сайтов при работе через тор.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 19-Окт-16, 14:27 
Тогда и я осилю сотню-две VPS'ок в год. Мне вообще не западло.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от 5kbps (ok) on 19-Окт-16, 19:25 
Тебе не западло, а у них финансирование из кармана самого влиятельного правительства в мире.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

4. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Alexey Filimonov email on 18-Окт-16, 10:06 
Потому что нет смысла ловить\модифицировать траффик на выходе при корректно настроенном клиенте, так как это не обличает источник траффика. От "встройки" какого нибудь JS защищает блокировка этого самого JS со стороны браузера.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +4 +/
Сообщение от Аноним (??) on 18-Окт-16, 10:13 
Если тебе нужен сноуден чтобы понять что выходные ноды контролируются кем угодно, у меня плохие новости о твоих умственных способностях. Это как-бы by design. А сеть, прикинь, остаётся анонимной. Разжевать и в рот положить, или сам сходишь почитать документацию?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  –6 +/
Сообщение от Парвиз on 18-Окт-16, 10:55 
Ну-ну. А то, что тебе АНБ может эксплоит на блюдечке прислать не учитывается ?? Причем в случае АНБ мну верит и в jailbreak из виртуальной машины ...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +1 +/
Сообщение от Аноним (??) on 18-Окт-16, 11:09 
С такой паранойей тебе вообще в интернет нельзя выходить.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 11:18 
Блюдечко через порт не пролезет.
Чегой то там о виртмашине?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

19. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от arzeth (ok) on 18-Окт-16, 13:20 
> А то, что тебе АНБ может эксплоит на блюдечке прислать не учитывается ??

Если Javascript отключить, то вероятность этого снизится на порядки.


> Причем в случае АНБ мну верит и в jailbreak из виртуальной машины ...

Поэтому рекомендуется использовать Whonix на двух компах: на одном Whonix-Gateway (с доступом к интернету), на другом Whonix-Workstation (с KDE, браузером и доступом только к компу с Whonix-Gateway). Таким образом, attack surface сильно уменьшится. Добраться же до Gateway АНБ может благодаря эксплуатации TrustZone или Intel ME (которая использует JVM — attack surface немаленький), или сетевого интерфейса, или вообще самого Тора.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +1 +/
Сообщение от Ну а то on 18-Окт-16, 13:35 
И сейчас песочницы никто не отменял, а в ближайшем будущем песочницы будут итегрированы в сам браузер (вкладка-песочница). Читаем блог torproject.org и mozilla
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 13:50 
Whonix сила, это ты верно говоришь брат.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 13:52 
Верно нига.. есть еще Tails и Qubes
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от бедный буратино (ok) on 18-Окт-16, 15:10 
лучше OpenBSD использовать, в АНБэях всяких даже не знают, что это такое

а профессионалы - те только kolibrios

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Парвиз on 18-Окт-16, 18:51 
C whonix архитектурой  - другая проблема: либо мы обновления на workstation качаем через tor и нам могут подсунуть модифицированный пакет( я считаю, что АНБ может завербовать мейнтейнера, или устроить ему негласный обыск установив программный или аппаратный кейлоггер и выкрасть ключ.) либо качаем без tor'a и подставляемся по полной.
Вариант - будем пользоваться live-cd  и обновлять сразу образ, - не проходит поскольку на workstation тогда трудно заниматься разработкой да и любой осмысленной деятельностью отличной от серфинга/переписки...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 21:53 
К чему эти фантазии? Причем здесь whonix? Может придумать 100500 сюжетов как могут и что могут спецслужбы. Так же можно придумать не меньше контрдействий.
Простой Линукс вы как обновляете? Откуда образ берете для установки? Что значит заниматься разработкой и причем здесь АНБ? А любая осмысленная деятельность как ограничивается?
Есть сборки типа Tails, где вы можете заниматься своими делами, а в следующей сессии следов от предыдущей не останется..
Вообщем, к чему этот пассаж в сторону whonix?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

10. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 18-Окт-16, 11:12 
Человек ленив и не хочет изучать вопрос, пусть живет в своим мирке. Зачем что-то доказывать таким? От этого он не станет менее ленив.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  –2 +/
Сообщение от Нанобот (ok) on 18-Окт-16, 11:39 
>Ещё раз объясните мне, почему Tor называют анонимной сетью после того, как Сноуден прямо сказал: "выходные ноды контролируются спецслужбами"?

ну так ослоуден не является истиной в последней инстанции, у него уровень где-то ОБС+

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

34. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 19-Окт-16, 06:28 
Дос-уязвимость в Tor. Генерал Фейлор всё-таки прочитает наши диски. Аборт/ретри/игнор?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от бедный буратино (ok) on 19-Окт-16, 09:31 
побежал перечитывать фидошные истории про командира нортона :)
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Обновление Tor 0.2.8.9 с устранением DoS-уязвимости"  +/
Сообщение от Аноним (??) on 31-Окт-16, 09:11 
у меня tor-0.2.8.6 Заранее извиняюсь может быть просто нагнетаю обстановку (о выше перечитанных постах), но такая проблема. После старта тор евойный DNS ресольвер разрешает имена не в такие IP которые разрешаются внешним DNS провайдером. Поэтому отказался запихнул этот ресольвер вторым. Например tor-resolve pkg.cdn.pcbsd.org = 89.233.107.230, но иногда другие IP. Меняю цепочку до тех пор пока не начинают соответствовать. Я не специалист просто подозреваю это переход на новую библиотеку SSL. Может кто нибудь просветит меня в этом вопросе? И возможно просто подождать переход на более свежую версию и не парится вопросом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру