Возможна утечка информации?

Уязвимость?

Список разделов

Описание: Решаем технические проблемы

Сообщение #1 PorNoSloNiK » 08.06.2013, 11:47

Тем кто пользуется Tor:

Когда вы ходите по onion - сайтам Ваш трафик передаётся шифрованным внутри сети тор.

Но когда Вы заходите например на этот форум через тор - трафик идёт в том числе и через "выходную" ноду, где он уже передаётся нешифрованным по открытым каналам связи.

Вот тут то злоумышленник (спецслужба) могут создать подставную выходную ноду и пропалить весь Ваш трафик.

Вотпрос: как у нас обстоят дела с этим ? Может стоит организовать доступ на форум по https ?
Чтобы трафик шифровался самим форумом?

Это возможно?
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 2355
Зарегистрирован: 26.01.2013

Сообщение #2 Raisonneur » 08.06.2013, 14:41

PorNoSloNiK писал(а) 08.06.2013, 11:47:Вот тут то злоумышленник (спецслужба) могут создать подставную выходную ноду и пропалить весь Ваш трафик.
А как злоумышленник узнает, что это именно Мой трафик? Он пришел с выходной ноды, из ниоткуда, отправитель неизвестен.
Spreng die Ketten - mach Dich frei!
Keine Regeln - keine Gnade winde dich aus deiner Schlinge. Mach den Traum zu deinem Leben! Alles was du brauchst ist Mut. Niemand soll dich daran hindern! Niemand wird dich daran hindern!
Raisonneur M
Киномеханик
Откуда: Reumm/Helsingfors
Сообщения: 8495
Зарегистрирован: 13.02.2013

Сообщение #3 Xisp » 08.06.2013, 15:08

PorNoSloNiK писал(а) 08.06.2013, 11:47:Вотпрос: как у нас обстоят дела с этим ? Может стоит организовать доступ на форум по https ?
Чтобы трафик шифровался самим форумом?

Это возможно?

Всё просто- нужно 50 евро в месяц на площадку с выделенным ip (по другому ssl соединение не работает). Сертификат можно попытаться достать бесплатно. Но в общем выходит 24 тысячи рублей в год только на форум.

Добавлено спустя 1 минуту 8 секунд:
Raisonneur писал(а) 08.06.2013, 14:41:А как злоумышленник узнает, что это именно Мой трафик?

Да никак, не в этом суть. Суть в том, что ты тут отправляешь в личке сообщение, а он его читает.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #4 Raisonneur » 08.06.2013, 15:58

Xisp писал(а) 08.06.2013, 15:08:Суть в том, что ты тут отправляешь в личке сообщение, а он его читает.
Это уже не технический вопрос. Просто не надо никому доверять и писать в личку, что вот, дружище педобир, будешь в наших краях милости прошу, улица Тонди 192 недалеко от Ратушной площади, спроси Рыбкина Пашу, меня каждая собака знает, пива попьем, с лолями познакомлю.
Последний раз редактировалось Raisonneur 08.06.2013, 16:02, всего редактировалось 1 раз.
Spreng die Ketten - mach Dich frei!
Keine Regeln - keine Gnade winde dich aus deiner Schlinge. Mach den Traum zu deinem Leben! Alles was du brauchst ist Mut. Niemand soll dich daran hindern! Niemand wird dich daran hindern!
Raisonneur M
Киномеханик
Откуда: Reumm/Helsingfors
Сообщения: 8495
Зарегистрирован: 13.02.2013

Сообщение #5 Xisp » 08.06.2013, 20:32

Raisonneur писал(а) 08.06.2013, 15:58:Это уже не технический вопрос.

Отчасти технический. Шифрование уже не даст спокойно читать тексты любому, организовавшему у себя выходную ноду тора.
Хотя админы, хостинг всё равно смогут читать. Я как- то хотел замутить шифрование на яваскрипте на стороне клиента, но это надо будет много чего писать.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #6 Sasha » 08.06.2013, 23:08

Xisp писал(а) 08.06.2013, 15:08:Всё просто- нужно 50 евро в месяц на площадку с выделенным ip

А нет каких-то бесплатных утилит для шифрования трафика между клиентом и сервером?
Sasha
Сообщения: 6698
Зарегистрирован: 22.01.2013

Сообщение #7 Xisp » 08.06.2013, 23:17

Dodo писал(а) 08.06.2013, 23:08:А нет каких-то бесплатных утилит для шифрования трафика между клиентом и сервером?

Может и есть, только во-первых, их придётся дружить с тором, во- вторых, ставить на каждый ПК, с которого просматривается форум.

Добавлено спустя 1 час 3 минуты:
Xisp писал(а) 08.06.2013, 15:08:по другому ssl соединение не работает

Вообще- то работает, но с морем ограничений (в ХР в ИЕ вообще никак), и опять же хостер не факт что согласится. Называется сей костыль Server Name Indication.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #8 PorNoSloNiK » 09.06.2013, 00:24

Xisp писал(а) 08.06.2013, 23:17:Вообще- то работает, но с морем ограничений (в ХР в ИЕ вообще никак), и опять же хостер не факт что согласится. Называется сей костыль Server Name Indication.


С этого момента пожалуйста поподробнее?
F65.4
PorNoSloNiK M
Автор темы
Сообщения: 2355
Зарегистрирован: 26.01.2013

Сообщение #9 Xisp » 09.06.2013, 00:38

PorNoSloNiK писал(а) 09.06.2013, 00:24:С этого момента пожалуйста поподробнее?

С какого точнее? Про проблемы и ограничения? Работает мало где. Точнее:
Педивикия:Internet Explorer 7 or later, on Windows Vista or higher. Does not work on Windows XP, even Internet Explorer 8 (because the support of this feature is not browser version dependent, it depends on SChannel system component which introduced the support of TLS SNI extension, starting from Windows Vista, not XP).[7]
Mozilla Firefox 2.0 or later
Opera 8.0 (2005) or later (the TLS 1.1 protocol must be enabled)[8]
Opera Mobile at least version 10.1 beta on Android[citation needed]
Google Chrome (Vista or higher. XP on Chrome 6 or newer.[9] OS X 10.5.7 or higher on Chrome 5.0.342.1 or newer)
Safari 3.0 or later (Mac OS X 10.5.6 or higher and Windows Vista or higher)
Konqueror/KDE 4.7 or later [10]
MobileSafari in Apple iOS 4.0 or later[11]
Android default browser on Honeycomb (v3.x) or newer[12]
То есть зайти например с андроида 2.х или какого- нибудь редкого браузера банально не получится. И ХЗ как с этим поисковики дружат.
Про хостера, так спросить надо.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #10 shpionec » 09.06.2013, 01:04

Xisp писал(а) 09.06.2013, 00:38:То есть зайти например с андроида 2.х или какого- нибудь редкого браузера банально не получится.
а нельзя ли старые устройства гонять по обычному HTTP?

Добавлено спустя 5 минут 17 секунд:
Xisp писал(а) 09.06.2013, 00:38:И ХЗ как с этим поисковики дружат.
ну загрузить страницы точно смогут, вряд ли там старые библятеки используются.
а если проблема в том, что одна страница окажется на двух разных URL, то это легко лечится через canonical-link в заголовке.
"Когда ребенок с пеленок сидит перед экраном телевизора, у него формируется другая структура головного мозга'' /Академик РАН Константин Колин
shpionec
Сообщения: 4461
Зарегистрирован: 13.02.2013

Сообщение #11 Xisp » 09.06.2013, 01:17

shpionec писал(а) 09.06.2013, 01:04:а нельзя ли старые устройства гонять по обычному HTTP?

Как предлагаешь определять?
Вообще- то можно просто добавлять s к протоколу, кому надо, но больно легко запутаться и загрузить обычную версию. Отличий там в замочке в адресной строке, а версии сертификатов с большой зелёной заливкой дорогие.

shpionec писал(а) 09.06.2013, 01:04:а если проблема в том, что одна страница окажется на двух разных URL, то это легко лечится через canonical-link в заголовке.

Уже есть они. Только вот всё равно дубли будут, ибо протокол подставляется автоматом. Можно конечно попытаться исправить функцию добавления каноничных адресов, приписав везде обычный HTTP, но тогда все ссылки в гугле будут с HTTP. А прописать каноничный адрес на HTTPS нельзя, ибо юзвери, переходя по ссылкам с использованием не поддерживаемого браузера, увидят ничего.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #12 shpionec » 09.06.2013, 02:26

Xisp писал(а) 09.06.2013, 01:17:Как предлагаешь определять?
знаменем животворящим по юзер-агенту вестимо.

Добавлено спустя 35 секунд:
Xisp писал(а) 09.06.2013, 01:17:Отличий там в замочке в адресной строке, а версии сертификатов с большой зелёной заливкой дорогие.
спасибо, КЭП.

Добавлено спустя 6 минут 12 секунд:
Xisp писал(а) 09.06.2013, 01:17:Вообще- то можно просто добавлять s к протоколу, кому надо, но больно легко запутаться и загрузить обычную версию.
очевидно надо светить URL с HTTP как канонический и перенаправлять туда поисковики, чтобы в индексах остался обычный HTTP (иначе древние устройства тупо не зайдут).
всех, кроме поисковиков и древностей, автоматически гнать на URL с HTTPS.
как-то так.

либо перенаправлять только форму входа и залогиненных пользоватлей (если не древний браузер).
Последний раз редактировалось shpionec 09.06.2013, 02:36, всего редактировалось 1 раз.
"Когда ребенок с пеленок сидит перед экраном телевизора, у него формируется другая структура головного мозга'' /Академик РАН Константин Колин
shpionec
Сообщения: 4461
Зарегистрирован: 13.02.2013

Сообщение #13 Xisp » 09.06.2013, 03:54

shpionec писал(а) 09.06.2013, 02:26:по юзер-агенту вестимо.

Ненадёжно. Да и посмотри на юзерагент хрома- там чего только нет, прямо история браузеростроения.

shpionec писал(а) 09.06.2013, 02:26:очевидно надо светить URL с HTTP как канонический и перенаправлять туда поисковики, чтобы в индексах остался обычный HTTP (иначе древние устройства тупо не зайдут).

Ага, логично. Осталось только хостера спросить, а то все наши рассуждения будут бессмысленными, если у него этого нет и он откажется это настраивать.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #14 shpionec » 09.06.2013, 15:26

Xisp писал(а) 09.06.2013, 03:54:Ненадёжно.
да нормально, перечисленные тобой клиенты отсечет со 100% надежностью, да и у кого они остались?
если и будут ложные срабатывания, то их в индивидуальном порядке можно полечить.
"Когда ребенок с пеленок сидит перед экраном телевизора, у него формируется другая структура головного мозга'' /Академик РАН Константин Колин
shpionec
Сообщения: 4461
Зарегистрирован: 13.02.2013

Сообщение #15 Xisp » 09.06.2013, 22:38

shpionec писал(а) 09.06.2013, 15:26:да и у кого они остались?

ХР с ИЕ8- вполне часто встречающийся вариант.

shpionec писал(а) 09.06.2013, 15:26:да нормально,

Ладно, через недельку спрошу у хостера. А то я и так ТП замучил, из- за их переезда (ну вот не могут они сразу всё нормально сделать, пока не попросишь).
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #16 shpionec » 09.06.2013, 23:32

Xisp писал(а) 09.06.2013, 22:38:ХР с ИЕ8- вполне часто встречающийся вариант.
даже среди зарегистрированных пользователей этого форума??

Добавлено спустя 1 минуту 4 секунды:
Xisp писал(а) 09.06.2013, 22:38:А то я и так ТП замучил, из- за их переезда
да ладно, заслужили, два раза клали всю сеть на целую ночь, где это видано?
другие хостеры за полчаса простоя слезные письма с извинениями шлют.
"Когда ребенок с пеленок сидит перед экраном телевизора, у него формируется другая структура головного мозга'' /Академик РАН Константин Колин
shpionec
Сообщения: 4461
Зарегистрирован: 13.02.2013

Сообщение #17 Xisp » 09.06.2013, 23:43

shpionec писал(а) 09.06.2013, 23:32:даже среди зарегистрированных пользователей этого форума??

А то. Я постил картинку в SVG, и не все её увидели. А этот формат поддерживает даже моя мобилка. Только ИЕ до 9 версии не поддерживает (ну и файрфокс версии 1.5, но это какое тысячелетие?).

shpionec писал(а) 09.06.2013, 23:32:да ладно, заслужили, два раза клали всю сеть на целую ночь, где это видано?

В последнем случаи что- то с доменными именами было, я их жёстко прописал, и при переезде немного не туда указывало. Сейчас всё верно, такого больше не повторится.

shpionec писал(а) 09.06.2013, 23:32:другие хостеры за полчаса простоя слезные письма с извинениями шлют.

И банят по первой абузе. А этому пофиг.
Ну и слёзные письма были.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #18 Peter2 » 13.09.2015, 16:31

Xisp писал(а) 08.06.2013, 15:08:Всё просто- нужно 50 евро в месяц на площадку с выделенным ip (по другому ssl соединение не работает). Сертификат можно попытаться достать бесплатно. Но в общем выходит 24 тысячи рублей в год только на форум.

Пиратская партия предлагает сервер по цене от 19 евро в месяц.

По словам создателей, хостинг создан для размещения контента, который может быть подвергнут преследованиям со стороны организаций типа “Spamhaus”, правоохранительных органов или правительств каких-либо стран.
Возможны варианты заказать VPS, VDS и выделенный сервер.

На хостинге сразу будет устанавливаться блокировка по IP-адресам государственных органов. Также создатели обещают всё время пополнять список таких IP-адресов путем создания фейковых страниц, на которые будут заходить только представители РосКомНадзора и остальных организаций, ведущих нашумевший реестр заблокированных сайтов.

Кроме этого, при заказе VPS/VDS или Выделенного сервера Вы можете заказать IPv6 подсеть (как известно, товарищи из ЛигиБезИнтернета «ниасилили» существование этой версии протокола и блокировка сайтов, доступных только-по-IPv6 не осуществляется).

Также, исходя из описания, у хостинга существует своя идеология:
“Мы придерживаемся позиции, что не существует незаконной или нелегальной информации. Бывает информация, которую хотят скрыть различные государственные деятели, бывает информация, свободное существование которой нежелательно для различных корпораций. Да, мы говорим о свободе слова и самовыражения.”

Особенности
• Полный SSH доступ
• Гарантированная производительность
• Выделенные IP-адреса
• Юридическая поддержка
• Опционально: защита от DDoS-атак

Linux VPS 100Gb/1Gb RAM root-доступ, SSH unmetered 19 EUR
https://piratehost.net/
Peter2
Сообщения: 699
Зарегистрирован: 24.07.2015

Сообщение #19 Xisp » 13.09.2015, 19:50

Peter2, эти сообщения 2013 года, и, мягко говоря, устарели. Мы давно на VPS, если ты не заметил доступ в онионе.
Не думай, что белочки могут сделать для тебя, думай, что ты можешь сделать для них- Я.
Те, кто готов поступиться свободой во имя безопасности, не заслуживают ни свободы, ни безопасности- Бенджамин Франклин.
Xisp M
Сообщения: 13831
Зарегистрирован: 20.01.2013

Сообщение #20 Hotaru » 14.09.2015, 08:32

Плюс наверняка у пиратов такие же строгие правила как и у нынешнего хостера. :)
Лоли - цветы жизни
"Это солнечный яд. Золотые лучи. А они говорят: "Надо срочно лечить"" Для педофила в мире две радости: няшить ребенка, и узнавать, что очередного педофоба посадили за педофилию. ©Raisonneur
Hotaru
Злой бука
Сообщения: 16728
Зарегистрирован: 04.04.2013


Вернуться в Тех.помощь