Полезная информация

В мире Mozilla происходит много интересных событий. Но вам не нужно постоянно посещать новостные сайты, чтобы быть в курсе всех изменений. Зайдите на ленту новостей Mozilla Россия.

№12601-11-2012 23:11:17

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun пишет

Да откуда ВЫ вообще взяли, что на 443 всегда SSL?
.....
Давай те даже для примера этот форум возьмем:
https://forum.mozilla-russia.org/ - шифрование есть на главной страницы.

А вот наши админы решили сэкономить на мощностях сервера. В итоге:
https://forum.mozilla-russia.org/viewtopic.php?pid=587448 - адрес этой темы.
http://img13.imageshost.ru/img/2012/11/ … _small.jpg
Хана вашим кукам http://www.kolobok.us/smiles/big_madhouse/wacko3.gif

Хм... а у меня всё в ажуре - админы молодцы :lol:

SSL
SSL_01.png

На самом деле это [firefox] предупреждает Вас, что не весь трафик шифруется и те смайлики (с http://www.kolobok.us/), которые Вы напихали в свои сообщения, получены по незашифрованному каналу... чтобы такое пресекать нужно ставить RequestPolicy

Но каким образом это может слить мои куки или тем более пароли я непонимаю :music:

Отредактировано Zaycoff (01-11-2012 23:14:03)

Отсутствует

 

№12701-11-2012 23:55:58

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

В прочем, SSL-Strip не отменяется - теперь еще сложнее понять по значку, что страница зашифрована.

Zaycoff пишет

Но каким образом это может слить мои куки или тем более пароли я непонимаю :music:

Во время самого первого запроса.
Если что-то не понимаешь - это еще не значит, что невозможно. Сама атака SSL-Strip существует и есть реализации.

А есть и такой типа атак. Яндекс, Рамблер и многие другие крупные сайты имеют такие дырки.

Добавлено 02-11-2012 00:16:15
http://habrahabr.ru/post/134517/, но там обсуждения.

Отредактировано Keepun (02-11-2012 00:19:28)


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№12802-11-2012 00:20:12

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Замечательно, но при чём тут TOR? Как он может быть виноват в том, что создатель сайта криво организовал его структуру?
Притом, что эти уязвимости прекрасно эксплуатируются и без участия проки в виде TORа.

В ссылке на Хабр - написано примерно тоже о чём я и писал, никаких страшных, чудовищных уязвимостей пока не раскрыто... а так хотелось сенсацию =)

Отсутствует

 

№12902-11-2012 00:41:25

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Есть еще такое:
http://habrahabr.ru/post/112860/
http://habrahabr.ru/post/114974/

Добавлено 02-11-2012 00:55:20

Zaycoff пишет

страшных, чудовищных уязвимостей пока не раскрыто... а так хотелось сенсацию =)

"страшных и чудовищных" нет, если поглядывать на адресную строку.

Zaycoff пишет

Притом, что эти уязвимости прекрасно эксплуатируются и без участия проки в виде TORа.

Но когда ты - выходной нод, то это значительно облегчает дело, чем править файл hosts на компах.

"Социальная инженерия" всегда была главным инструментом.

Вообще в рамках этой темы желательно бы найти расширение, которое более ярко предоставляет инфу от SSL в адресной строке (как до 15-16 версии).

Добавлено 02-11-2012 01:05:39
Что-то типа такого

Отредактировано Keepun (02-11-2012 01:05:39)


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№13002-11-2012 01:11:35

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

SSLPersonas - вот это мега-класное расширение. Все цвета пашут.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№13102-11-2012 01:14:25

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun

А еще есть куча любопытных настроек, которые через GUI не настроить.

Вот я про них и спрашивал. Какие из них конкретно дырявы и в чём именно эта дырявость?

Keepun

Тебе GUI показать?

Зачем, если «через GUI не настроить»? :rolleyes:

Вставание выходным нодом без фильтров и подставление своей задницы без осознания рисков во имя "Свободы" - не дырявость?

Большинство тех, кто первый раз ставит Тор, считают его "безопасным" "по-умолчанию"

-

По умолчанию не стоит, но "жалобные надписи" так и просят поставить

Только я вижу здесь противоречия? Или я всё-таки что-то не так понял?

Rosenfeld

Кто из присутствующих сможет перевести сакральный смысл данного откровения на общечеловеческий язык?

Возможно, имеется ввиду вот это?

Keepun

Пихаем в код анонимайзера (Тора) примерно такие строки:

Это что, чтобы вредоносный код заработал, его ещё и самому собирать надо? Прямо как вирусы в Linux. :)

Zaycoff

На самом деле это [firefox] предупреждает Вас, что не весь трафик шифруется и те смайлики (с http://www.kolobok.us/), которые Вы напихали в свои сообщения, получены по незашифрованному каналу... чтобы такое пресекать нужно ставить RequestPolicy

Но каким образом это может слить мои cookies или тем более пароли я непонимаю :music:

Ну, видимо, там будет SVG-картинка, в которой будет скрипт, который будет при запуске выдавать сообщение вроде «Здравствуйте, я вирус из далёкой страны, чтобы я смог запуститься, пожалуйста, откройте меня Оперой…» :)

Keepun

Эта атака стала возможна из-за дурацкого изменения адресной строки броузера (в частности Лисы)!
Я имею введу именно значок защиты "Замок" и "Глобус" - они сейчас не цветные и маленькие.

Вообще в рамках этой темы желательно бы найти расширение, которое более ярко предоставляет инфу от SSL в адресной строке (как до 15-16 версии).

Что-то типа такого

Это расширение а) «Недоступно для вашей платформы», б) «Недоступно для Firefox 16.0».

Подсветка цветом всей адресной строки пойдёт? Вот есть такой стиль:

скрытый текст

Выделить код

Код:

/*yellow ssl colour*/
#urlbar[level="high"] { background-color: #ffffbb !important; }
#urlbar[level="broken"] {
 background-image: -moz-repeating-linear-gradient(left -45deg, 
 #ffffff,
 #ffffff 5%,
 #ffffbb 6%,
 #ffffbb 10%
 );
}


Не помню уже, где взял, но пока работает.

Добавлено 02-11-2012 01:16:26

SSLPersonas - вот это мега-класное расширение. Все цвета пашут.

Только у тех, кто не использует отличную от стандартной тему оформления.

Отредактировано MySh (02-11-2012 01:16:26)

Отсутствует

 

№13202-11-2012 01:30:24

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

MySh пишет

Это что, чтобы вредоносный код заработал, его ещё и самому собирать надо? Прямо как вирусы в Linux. :)

Исправление вносит сам атакующий, а не юзер - разница есть?
В рамках обучения программированию - это очень увлекательно.

MySh пишет

Только у тех, кто не использует отличную от стандартной тему оформления.

Можно свои 3 темы указать.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№13302-11-2012 17:19:46

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4339
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun пишет

image_5092b6a5458a8_small.jpg
Хана вашим кукам wacko3.gif

А нечего картинки со сторонних ресурсов вставлять. :)
Все правильно показывает. Там еще и примечание есть:

Ваше соединение с этим веб-сайтом зашифровано лишь частично, и не предотвращает прослушивание.


Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№13403-11-2012 01:39:24

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Да понял я уже насчет этого значка в Лисе.
SSLPersonas информативнее. 3 темы на выбор + 1 для сайтов без шифрования.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№13503-11-2012 09:46:35

foka
Участник
 
Группа: Members
Зарегистрирован: 21-09-2012
Сообщений: 32
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Есть же вменяемое расширение показывающие насколько безопасно безопасное :) соединение https://addons.mozilla.org/en-US/firefox/addon/calomel-ssl-validation/

Отсутствует

 

№13604-11-2012 00:12:03

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun

Исправление вносит сам атакующий, а не юзер

То есть, он должен сделать свою сборку, а потом её ещё как-то распространить?

Infocatcher

А нечего картинки со сторонних ресурсов вставлять. :)

Я правильно понимаю, что в этом случае по незащищённому каналу передаются только эти картинки (и другое содержимое со сторонних сайтов), следовательно, за cookies от этого сайта можно не опасаться?

foka
Спасибо, примем к сведению. Хотя, говорят, оно не очень точное.

Отсутствует

 

№13704-11-2012 02:42:47

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

MySh пишет

То есть, он должен сделать свою сборку, а потом её ещё как-то распространить?

Это не вирус и не троян вообще-то, чтобы его распространять.
Это - модификация выходного нода. Качаешь исходники, модифицируешь, встаешь выходным нодом и собираешь пароли, куки и т.п. интересную инфу.
Что ты распространять собрался? Модифицированный Тор, чтоб другие тоже могли "порыбачить"? наверняка уже распространяют.

Часто можно встретить заблуждение:
"Да кому нужны куки и пароли, если не известно от кого они?" - самое бредовое заблуждение. Как будь-то спамеру важно знать твой жилой адрес, чтобы рассылать с твоей почты или ака социальной сети спам твоим друзьям girl_crazy.gif
Только правоохранительные органы могут запрашивать настоящие данные о человеке по IP у провайдера.

=======================
Кстати, если есть спутниковая тарелка за окном (типа НТВ+ и других - не важно), то покупаете DVB-карту в комп за 2-3т.р., качаете прогу SkyNET (наверняка еще жива) и начинаете настоящую рыбалку. Оплачивать спутниковый Инет не нужно. Достаточно поймать сигнал любого спутника в округе и найти по нему частоты в Инете... эх... было у меня такое время... куки, пароли, личные документы, порно...

С Тором тоже самое...

А еще спутниковое ТВ на халяву... как со спутником повезет...

Отредактировано Keepun (04-11-2012 03:00:10)


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№13804-11-2012 02:46:39

Infocatcher
Not found
 
Группа: Extensions
Зарегистрирован: 24-05-2007
Сообщений: 4339
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

MySh пишет

Я правильно понимаю, что в этом случае по незащищённому каналу передаются только эти картинки (и другое содержимое со сторонних сайтов), следовательно, за cookies от этого сайта можно не опасаться?

Firebug показывает, что cookies для forum.mozilla-russia.org получают только картинки с forum.mozilla-russia.org, но не сторонние.
Но вообще, конечно, интересно, что может «утечь» через сторонние картинки, это же не скрипты, которые могут страницу модифицировать.
Хотя в данном случае скрипты тоже не смогут получить cookies: они тут с флагом HttpOnly.


Прошлое – это локомотив, который тянет за собой будущее. Бывает, что это прошлое вдобавок чужое. Ты едешь спиной вперед и видишь только то, что уже исчезло. А чтобы сойти с поезда, нужен билет. Ты держишь его в руках. Но кому ты его предъявишь?
Виктор Пелевин. Желтая стрела

Отсутствует

 

№13904-11-2012 17:41:11

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Infocatcher пишет

Но вообще, конечно, интересно, что может «утечь» через сторонние картинки, это же не скрипты, которые могут страницу модифицировать.

В Опере может.
Не про все баги сразу сообщают разработчикам. Сначала эти баги интенсивно используют. И реакция разработчиков тоже бывает неадекватная.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№14005-11-2012 20:08:07

Unghost
Призрак-админ
 
Группа: Administrators
Откуда: Moscow, Russia
Зарегистрирован: 08-10-2004
Сообщений: 11771
UA: Firefox 19.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun

Не начнет, потому что такая атака проводится еще до установки полноценного HTTPS-соединения.
Матюгается только если уже с зашифрованной страницы слать данные на незашифрованную.

Принцип прост:
Сначала идет запрос без SSL.
Потом сервер должен  сообщить, что поддерживается SSL, но вместо него отвечает посредник "все ОК! В таком виде я приму данные".
Шифрование нет.
И вот тут только беглый взгляд юзера на адресную строку может спасти от ошибки.
А второй запрос посредством HTTP-заголовка пропускает на настоящий сервер.

Для предотвращения этой атаки придумали HSTS

Добавлено 05-11-2012 20:12:33
В Firefox 17 также будет встроен список сайтов, которые работают через HSTS. Как это сделано в Chrome.

Отредактировано Unghost (05-11-2012 20:12:33)


Do not meddle in the affairs of Wizards, for they are subtle and quick to anger.

Отсутствует

 

№14105-11-2012 22:57:12

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

HSTS - идея хорошая (главное, чтоб админы знали*), но список (отсюда ссылка) предопределенных сайтов мал.

* врядли про такое новшество много админов знают. А те, кто знает, могут просто забыть об этом при настройке сервера второпях.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№14206-11-2012 01:27:20

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun

Только правоохранительные органы могут запрашивать настоящие данные о человеке по IP у провайдера.

А как же хакеры, которые по IP могут вычислить?

Infocatcher
Спасибо, понятно.

Новость — оказывается, мы самые страшные: For Internet Safety, Russia Most Dangerous In World.
А я ведь Rosenfeld'у говорил…

Отсутствует

 

№14306-11-2012 02:13:25

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

MySh пишет

А как же хакеры, которые по IP могут вычислить?

Что вычислить? Твое будущее по этим числам? Так это к гадалке за углом.
Хакеру нужен твой логин и пароль, а не IP.

А если конкретно по IP жилой адрес, чтоб только фейс юзеру начистить - так для этого нужно знакомому в конкретном провайдере (чей IP) проставить ящик пива. Но это уже не хакеры, а гопники или менты.

Вот это собирают хакеры, а не бессмысленные IP.

Скрываясь от властей нарываетесь на "рыбаков". И если властям обычно наплевать на Вас, то "рыбаки" будут только рады.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№14406-11-2012 17:12:47

geczu
Участник
 
Группа: Members
Зарегистрирован: 02-11-2012
Сообщений: 244
UA: Firefox 16.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun
Лучше рыбаки чем власти это первое. Второе - все нормальные сайты связанные с анонимностью или деньгами используют https.

Отсутствует

 

№14506-11-2012 18:09:33

Пандёнок
Участник
 
Группа: Extensions
Зарегистрирован: 04-11-2008
Сообщений: 5543
UA: Seamonkey 2.13

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Keepun
Им нужно то, что им закажут. Например, моё местонахождение пытались вычислить те, кто недоволен подпиской — рекламная сеть одна. Боюсь, что не только в IT-технологиях они могли его применить.

Отредактировано Пандёнок (06-11-2012 18:10:37)

Отсутствует

 

№14606-11-2012 18:22:39

aleks_123
Участник
 
Группа: Members
Зарегистрирован: 30-11-2009
Сообщений: 961
UA: Palemoon 15.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Пандёнок пишет

Например, моё местонахождение пытались вычислить те, кто недоволен подпиской — рекламная сеть одна.

Опа! :o А можно поподробнее ?

Отсутствует

 

№14706-11-2012 20:19:48

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 16.0
Веб-сайт

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Пандёнок пишет

Им нужно то, что им закажут. Например, моё местонахождение пытались вычислить те, кто недоволен подпиской — рекламная сеть одна.

А хакеры тут причем? Это запрос в ментуру был.
Да и данных мало. Чаще можно данные владельца домена запросить...

geczu пишет

Лучше рыбаки чем власти это первое.

От законов в самой стране это зависит.
Может скоро и русские в анонимные сети попрутся, как азиаты.

Добавлено 06-11-2012 20:26:09
Может реально знает кто, как без [судебного] запроса к провайдеру вычислить личность с динамическим IP или за NAT? Это только в фильмах про "хакеров" возможно...

Отредактировано Keepun (06-11-2012 20:26:09)


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№14801-12-2012 09:41:10

Tarn
Участник
 
Группа: Members
Зарегистрирован: 06-02-2008
Сообщений: 268
UA: Firefox 3.6

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

У, по-моему, Пелевина, был такой прикол, "Хаз-барагаз" - подземный смех.

В качестве усовершенствования видов подземного смеха могу посоветовать две штуки (строго не для распространения и на свой страх, исключительно) - "Hotspot Shield" - стрёмная штуковина и "UltraSurf" - ещё более стрёмная, кто надо, найдёт. И таки да, скачивайте эти приблуды только с  их Оф. Сайтов.

Отредактировано Tarn (01-12-2012 10:04:27)

Отсутствует

 

№14901-12-2012 21:05:48

geczu
Участник
 
Группа: Members
Зарегистрирован: 02-11-2012
Сообщений: 244
UA: Firefox 17.0

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Tarn
Из готовых анонимайзеров можно рассматривать только Tor или i2p. Остальные или в зачаточном состоянии, или с закрытым кодом (анонимайзер!!!), или уже были взломаны и доверие к ним подорвано.

Отсутствует

 

№15001-12-2012 23:44:23

Tarn
Участник
 
Группа: Members
Зарегистрирован: 06-02-2008
Сообщений: 268
UA: Firefox 3.6

Re: Tor: сетевая безопасность (Тор браузер, tor browser)

Tor и ip2 закроют в первую очередь, там это не так сложно, как может показаться. Вы ещё больше на эту тему поорите, и наша Любимая Мизюзюлина, или как её там, выдаст закон на расстрел.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]