The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости, связанной с утечкой DNS-запросов"  +/
Сообщение от opennews (??), 13-Янв-23, 15:03 
Опубликованы корректирующие выпуски инструментария Tor 0.4.5.16 и 0.4.7.13, используемого для организации работы анонимной сети Tor. В новой версии устранена уязвимость, связанная с нарушением работы защиты от утечки DNS-запросов через локальный резолвер при подключении клиента через SOCKS4. Tor Browser не использует  SOCKS4, поэтому проблема его не касается...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58473

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +4 +/
Сообщение от Анонимм (??), 13-Янв-23, 15:03 
Отличная опечатка! Тянет как минимум на премию от товарища майора
Ответить | Правка | Наверх | Cообщить модератору

6. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (6), 13-Янв-23, 15:12 
Я вот тоже подумал найс дыра. С другой стороны, прикрываемся от мудаков владельцев сайтов, а не от провайдера днс.
Ответить | Правка | Наверх | Cообщить модератору

29. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (29), 13-Янв-23, 17:22 
С еще более другой стороны, какого черта вы socks4 вообще в 2023 использовали? У вас что, программы socks5 не умели? Вы серьезно?
Ответить | Правка | Наверх | Cообщить модератору

49. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (49), 14-Янв-23, 05:21 
Протокол socks5 так себе апгрейд. Ради чего он был сделан почти никогда не используется. А именно - авторизация. Как и биндинг портов на удаленном сервере. Для задачи соединения на такой-то хост 4а и 5 функционально идентичны, но 4а проще и эффективнее. В 4а нужно всего один раз в сокет записать, а в 5 отдельный хендшейк и нужно проверять статус коды.
Ответить | Правка | Наверх | Cообщить модератору

51. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 14-Янв-23, 09:38 
Нормальный апгрейд. Позволяет имена хостов сразу отдавать, а не через джеппу. Так что DNSопроблемы радикально отваливаются.

А авторизация в случае сабжа... позволяет тору внезапно разделять потоки от разного софта, понимая что изолировать по разным цепочкам.

В общем применительно к использованию tor стоит просто запомнить что socks4 маздай и забыть про него. А маздай он потому что работать с именами хостов нормально толком не умеет. Если конечно легитимно конектиться к только айпишникам, и никакого ресольва не требуется... но это очень вольное допущение. А иначе оно вон тем постепенно воздается. В случае сокс5 тор сразу именем хоста оперирует и ресольв этой штуки в конечном итоге проблемы exit node.

Ответить | Правка | Наверх | Cообщить модератору

62. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (49), 15-Янв-23, 13:09 
Я писал клиенты и серверы под этим протоколы, и много использовал разные решения для них. Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского дизайна времён доткомов, который по какой-то причине стал стандартом. Любой средней руки программист может за вечер создать протокол лучше. HTTP CONNECT и то лучше, чем socks5. Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу.

То что в 4а хост передается в не предназначенном для этого поле - совершенно пофиг. Технически происходит все то же самое, что в 5, только проще. В реальности 5 полезен только поддержкой ipv6. До которой никому как не было дела, так и нет.  

Ответить | Правка | Наверх | Cообщить модератору

66. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 16-Янв-23, 16:27 
> Я писал клиенты и серверы под этим протоколы, и много использовал разные
> решения для них.

В этом твоя проблема и состоит. Ты решил сэкономить на кодинге ценой всего остального. В секурити за такое воздается.

> Мое личное мнение - 4а лучше 5. 5 - беспросветный мрак, торжество любительского
> дизайна времён доткомов,

Проблемы господ которые хотят пернуть в сокет как можно проще, и озадаченные только упрощением кодинга, забив на статус операции, рассматривать в контексте секурити крайне не умно.

> протокол лучше. HTTP CONNECT и то лучше, чем socks5.

Внезапно tor и это умеет. Но на обычном прокси это ведет к риску утечки хттп реквестов.

> Хотя бы потому, что авторизацию можно подключить любую, и вот именно что не через жпу.

Поэтому отдельные неудачники е...ся конем с NTLM костылями, замечательно просто.

> 5, только проще.

Простота она хуже воровства... особенно в секурити, и там где экономия боком выходит.

> В реальности 5 полезен только поддержкой ipv6.

Там еще UDP так то есть. Tor'у он понятное дело не актуален.

> До которой никому как не было дела, так и нет.

Вот вас забыл спросить до чего мне дело есть.

Ответить | Правка | Наверх | Cообщить модератору

76. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (49), 17-Янв-23, 09:39 
Более простой код всегда более безопасный. Меньше кода и неиспользуемых особенностей - больше безопасности.
Реализацию 4а любой студент сможет проверить за 5 минут. Для 5 ему понадобится целый день.

Ладно, я свою позицию объяснил, она аргументирована и несмотря на непопулярность кто-то что-то может из нее почерпнуть. С вами мне особо нечего обсуждать.

Ответить | Правка | Наверх | Cообщить модератору

78. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 18-Янв-23, 20:06 
> Более простой код всегда более безопасный.

Верно только до известного предела. Давайте крипто уберем? А чо, пусть пароли по воздуху прям так летают. Безопаснее же станет.

> Меньше кода и неиспользуемых особенностей - больше безопасности.

Простите, вы хотите по факту работать с прокси - но при этом класть на статус операций прокси и их обработку? Это вот когда бы такое вело к чему-то позитивному в безопасности?

> Реализацию 4а любой студент сможет проверить за 5 минут. Для 5 ему
> понадобится целый день.

Зато не будет на статус операций забивать и не прострелит себе пятки. Тем более что для работы с тором не обязательно реализовывать продвинутости.

> Ладно, я свою позицию объяснил, она аргументирована и несмотря на непопулярность кто-то
> что-то может из нее почерпнуть.

Она аргументирована, но, имхо, ни к чему хорошему не ведет.

> С вами мне особо нечего обсуждать.

Как угодно но я пользуюсь сабжем и софтом через него. И все это случается через сокс5. Вот в том числе и во избежание вон тех факапов. А также общей дебагабельности сетапа, видите ли, в сложной сетевой конфиге нормальная реакция софта на ошибки еще и позволяет понимать что не так. Как это делать в вон том подходе - я без понятия, удобных способов не вырисовывается.

Ответить | Правка | Наверх | Cообщить модератору

28. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (29), 13-Янв-23, 17:21 
Удачи ему конфиг где это вообще работает найти. Сейчас найти софт не умеющий socks5 - довольно необычно, и проблемы socks4 - мягко говоря экзотика.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

50. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (49), 14-Янв-23, 05:24 
Реализация 4а - это одну структуру в сокет послать и прочитать код ответа. В отличие от 5, где никто и никогда не реализует полную спецификацию. Все используют socks5, но в сценарии, в котором справился бы 4а. Так уже сложилось.
Ответить | Правка | Наверх | Cообщить модератору

52. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 14-Янв-23, 09:39 
Как бы вам сказать? Срезание углов и безопасность живут по разную сторону улицы.
Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором  +1 +/
Сообщение от Аноним (2), 13-Янв-23, 15:04 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от Аноним (5), 13-Янв-23, 15:12 
Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором  +/
Сообщение от Аноним (2), 13-Янв-23, 15:21 
Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором  +/
Сообщение от Аноним (6), 13-Янв-23, 15:30 
Ответить | Правка | Наверх | Cообщить модератору

16. Скрыто модератором  –3 +/
Сообщение от Аноним (5), 13-Янв-23, 15:51 
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

18. Скрыто модератором  +1 +/
Сообщение от Аноним (6), 13-Янв-23, 16:18 
Ответить | Правка | Наверх | Cообщить модератору

20. Скрыто модератором  +/
Сообщение от Аноним (6), 13-Янв-23, 16:32 
Ответить | Правка | Наверх | Cообщить модератору

31. Скрыто модератором  +/
Сообщение от Аноним (5), 13-Янв-23, 17:25 
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  +/
Сообщение от Аноним (6), 13-Янв-23, 17:32 
Ответить | Правка | Наверх | Cообщить модератору

70. Скрыто модератором  +/
Сообщение от Аноним (70), 16-Янв-23, 17:47 
Ответить | Правка | Наверх | Cообщить модератору

71. Скрыто модератором  +/
Сообщение от Аноним (6), 16-Янв-23, 18:01 
Ответить | Правка | Наверх | Cообщить модератору

73. Скрыто модератором  +/
Сообщение от Аноним (70), 16-Янв-23, 18:26 
Ответить | Правка | Наверх | Cообщить модератору

74. Скрыто модератором  +/
Сообщение от Аноним (6), 16-Янв-23, 19:04 
Ответить | Правка | Наверх | Cообщить модератору

77. Скрыто модератором  +/
Сообщение от Аноним (77), 18-Янв-23, 18:16 
Ответить | Правка | Наверх | Cообщить модератору

72. Скрыто модератором  +/
Сообщение от Аноним (6), 16-Янв-23, 18:03 
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

24. Скрыто модератором  +/
Сообщение от Аноним (5), 13-Янв-23, 17:08 
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

27. Скрыто модератором  +1 +/
Сообщение от Аноним (6), 13-Янв-23, 17:18 
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Аноним (5), 13-Янв-23, 17:35 
Ответить | Правка | Наверх | Cообщить модератору

35. Скрыто модератором  +/
Сообщение от Аноним (6), 13-Янв-23, 17:45 
Ответить | Правка | Наверх | Cообщить модератору

65. Скрыто модератором  +/
Сообщение от Аноним (70), 16-Янв-23, 15:54 
Ответить | Правка | Наверх | Cообщить модератору

3. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (5), 13-Янв-23, 15:06 
А у нас тор уже можно?
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  –2 +/
Сообщение от Аноним (17), 13-Янв-23, 15:53 
Это децентрализованная сеть, её невозможно полностью заблокировать, можно лишь сделать так, чтобы она работала хуже.
Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +1 +/
Сообщение от Аноним (19), 13-Янв-23, 16:21 
> Это децентрализованная сеть, её невозможно полностью заблокировать

Ох уж этот Неуловимый Джо...

Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +1 +/
Сообщение от Аноним (21), 13-Янв-23, 16:34 
Tor это не неуловимый Джо. Это тысячи неуловимых Джо. Причём, каждый месяц несколько десятков Джо уходят и на их место приходят новые. Даже если ты отловишь их всех, всё равно придут новые, тебе придётся за этим постоянно следить
Ответить | Правка | Наверх | Cообщить модератору

22. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (2), 13-Янв-23, 16:43 
>Tor это не неуловимый Джо. Это тысячи неуловимых Джо

Верно, Тор - это тысячи Неуловимых Джо и десяток входных/выходных узлов, которые держатся нужными людьми.

Ответить | Правка | Наверх | Cообщить модератору

34. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  –1 +/
Сообщение от Аноним (5), 13-Янв-23, 17:43 
> которые держатся нужными людьми.

В РФ сабж уже можно?

Ответить | Правка | Наверх | Cообщить модератору

38. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от X86 (ok), 13-Янв-23, 20:17 
А что нельзя то?
Ответить | Правка | Наверх | Cообщить модератору

64. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (70), 16-Янв-23, 15:42 
Разве год назад не запретили анонимные сети?
Ответить | Правка | Наверх | Cообщить модератору

53. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 14-Янв-23, 09:41 
> десяток входных/выходных узлов, которые держатся нужными людьми.

Узлов там так то сильно более десятка, поэтому они держатся много кем. А тор еще и придирчив на тему выбора узлов в цепочках, так что вот именно удобно развесить имено всю цепочку на правильные хосты тот еще гимор. В целом масс шпионаж за Джо портится. А если кем-то прицельно уже заинтересовались, ну, э, ой.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

36. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +1 +/
Сообщение от rshadow (ok), 13-Янв-23, 18:40 
> если ты отловишь их всех, всё равно придут новые

Это так не работает. Запретить, сделать пару показательных судов и все само рассосется. Никто не будет сидеть в тюрьме за то чтобы ты мог что-то анонимно скачать.

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

55. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  –1 +/
Сообщение от Аноним (-), 14-Янв-23, 09:45 
Одно рассосется, другое появится. Вон революционеров вообще по каторгам таскали. В количестве сильно более пары. И как, помогло оно жандармам?
Ответить | Правка | Наверх | Cообщить модератору

57. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  –1 +/
Сообщение от rshadow (ok), 14-Янв-23, 17:54 
Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла. Что бдет дальше не понятно.
Одно радует что физиков пока особо не трогает государство. "необязательность исполнения" работает.
Ответить | Правка | Наверх | Cообщить модератору

69. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 16-Янв-23, 16:37 
> Это уже из философии. Тут вон треть революционеров вообще из страны съеб*ла.
> Что бдет дальше не понятно.

Ну так прошареный народец, вот им как раз видимо понятно. Потому и.

> Одно радует что физиков пока особо не трогает государство. "необязательность исполнения"
> работает.

Видимо не до того майорам ща видимо. Как и остальным.

Ответить | Правка | Наверх | Cообщить модератору

61. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +1 +/
Сообщение от Аноним (19), 14-Янв-23, 23:33 
> по каторгам таскали

та каторга больше на курорт за счёт государства походила.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

67. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +1 +/
Сообщение от Аноним (-), 16-Янв-23, 16:30 
> та каторга больше на курорт за счёт государства походила.

Ну если это курорт то живете вы наверное в окрестностях замка саурона, не меньше

Ответить | Правка | Наверх | Cообщить модератору

44. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от AKNOR (?), 13-Янв-23, 21:38 
Уже сложно
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

46. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от user (??), 14-Янв-23, 00:36 
Да, 29.5.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

56. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от faa (?), 14-Янв-23, 10:40 
Сайт Torа разблокирован.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (8), 13-Янв-23, 15:18 
Спасибо дидам за cleartext в DNS-запросах.
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (9), 13-Янв-23, 15:19 
а как надо было?

и в новости написано, что владелец днса может там что-то сделать, как неклитекст поможет?

Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (12), 13-Янв-23, 15:26 
про шированный DNS слышал? DNS Over TLS называется
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (12), 13-Янв-23, 15:26 
И DNSSEC еще
Ответить | Правка | Наверх | Cообщить модератору

23. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (6), 13-Янв-23, 16:48 
Это не то, dnscrypt защищает днс траф, но провайдеры под колпаком.
Ответить | Правка | Наверх | Cообщить модератору

30. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  –1 +/
Сообщение от Аноним (30), 13-Янв-23, 17:24 
Тогда надо делать DNS of Blockchain
Ответить | Правка | Наверх | Cообщить модератору

54. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +1 +/
Сообщение от Аноним (-), 14-Янв-23, 09:43 
Поздравляю, ты только что изобрел namecoin. Првда, кажется, его авторы сперли твою идею и даже воспользовались для этого машиной времени...
Ответить | Правка | Наверх | Cообщить модератору

60. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (19), 14-Янв-23, 23:27 
> про шированный DNS слышал?

шированный?! И чем надо ширнуться?

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

63. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (49), 15-Янв-23, 13:11 
Шифрованный днс от провайдера типа Амазона или Клаудфлейр.
Кому надо, все видят ваши запросы открытым текстом.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

47. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от user (??), 14-Янв-23, 00:38 
Для защиты детей от псевдозаботы.
Ответить | Правка | Наверх | Cообщить модератору

48. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Тот_Самый_Анонимус_ (?), 14-Янв-23, 04:50 
Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.
Ответить | Правка | Наверх | Cообщить модератору

68. "Обновление Tor 0.4.5.16 и 0.4.7.13 с устранением уязвимости,..."  +/
Сообщение от Аноним (-), 16-Янв-23, 16:32 
> Угу. Это «забота» о твоей анонимности. Настолько заботливая, что вот бэкдор обнаружили.

Назвать вон то бэкдором можно только с жесткого перепою, ничерта не разбераясь в сетях.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру