[tor]ответственность за действия третьих лиц
пользователь в каждый момент времени выполняет запросы от имени какого-то другого пользователяне все же, только те, которые держат exit-ноды
не все же, только те, которые держат exit-нодыХм, то есть по-умолчанию эта самая exit-нода неактивна и пользователей никак не поощряют к тому, чтобы быть таковой? Тогда таких нод на душу населения должно быть крайне мало. Если к тому же это надо отдельно настраивать, пусть даже одной строкой конфигурации.
Нет никакого резона держать такую ноду, а риски значительны.
Нет никакого резона держать такую ноду, а риски значительны.вроде как это делают спецслужбы, потому что много интересного проходит через эти ноды
вроде как это делают спецслужбы, потому что много интересного проходит через эти нодыНу это не проблема - достаточно использовать tor только для ssl и прочих шифрованных соединений. Кроме того, источник они всё равно не узнают.
Проблема в том, что если сеть основана только на добровольцах, которые несут риски и издержки, то она немасштабируема: чем больше пользователей, тем больше рисков и издержек у добовольцев (предполагаю, что их число будет расти не так активно, так как они из числа активистов, а те становятся пользователями в основном до основной массы).
Нужна система поощрения пользователей за поднятие ноды. Например, рейтинговая система, как на многих торрент-трекерах: отправляй свой трафик, если позволил другим отправить какой-то объём через себя. Плюс какой-то механизм защиты держателей нод от рисков.
А так, мне кажется более осмысленным в таком случае использовать платные прокси или, лучше, шлюзы из полностью скрытой сети (я слышал про i2p, freenet, gnunet) в интернет и платить биткоинами.
Оказывается у tor тоже есть полностью скрытая часть. Tor hidden services - домен .onion. Тогда я вообще не понял в чём принципиальная разница между tor и i2p... во всяком случае не понял преимуществ последнего. Там, как я понял, не предусмотрены exit-ноды как часть архитектуры.
а законы в разных странах разные. Как и правоприменительная практика. Может даже закон не запрещает передачу информаций третьих лиц, но юристы по одному делу тебе станут дороже пожизненной подписки на дедик. Это я про благословенные страны с "развитой" судебной системой. В россии объективные обстоятельства дела в лучшем случае волнуют только прессу, а обычно так вообще никого.
Это я про благословенные страны с "развитой" судебной системой.Насколько я понимаю, это ты в основном про одну из них.
Какое отношение написанное тобой имеет к теме?
Есть у тебя, например, машина. Ты даешь ее в безвозмездную аренду третьим лицам.
И один из них на этой машине заехал в детский сад и давил на машине детей.
Ты несешь ответственность за совершенные этим человеком правонарушения?
Ты должен доказывать что за рулем был не ты или это следствие должно доказать что ты управлял автомобилем?
С Tor похожая ситуация - предоставлял свой канал интернета третьим лицам. Про их цели и намерения ты не знал.
И один из них на этой машине заехал в детский сад и давил на машине детей.
Ты несешь ответственность за совершенные этим человеком правонарушения?
Ты должен доказывать что за рулем был не ты или это следствие должно доказать что ты управлял автомобилем?
С Tor похожая ситуация - предоставлял свой канал интернета третьим лицам. Про их цели и намерения ты не знал.
Речь на самом деле не столько о проблемах с законом. Законная часть как минимум спорная. Я, например, не вижу принципиальной юридической разницы между exit-node и роутером провайдера. И там, и там просто перенаправление трафика между разными адресными пространствами.
Предлагаю говорить, к примеру, о бане на википедии за массовый вандализм. Там, в отличие от правоохранителей, никто не будет разбираться принадлежит ли IP-адрес вредителю.
P.S. Сейчас гуглю на тему бывают ли платные exit-node в tor.
Предлагаю говорить, к примеру, о бане на википедии за массовый вандализм. Там, в отличие от правоохранителей, никто не будет разбираться принадлежит ли IP-адрес вредителю.
P.S. Сейчас гуглю на тему бывают ли платные exit-node в tor.
Я, например, не вижу принципиальной юридической разницы между exit-node и роутером провайдераУ провайдера есть лицензия на предоставление таких услуг. Он обязан ставить у себя оборудование СОРМ.
Он обязан ставить у себя оборудование СОРМ.Это верно только для российских провайдеров. Частный случай. Если говорить о частных случаях, то меня лично больше будет интересовать Союз.
Лицензии, в моём понимании, нужны в большинстве стран для предоставления платных услуг. Если провайдер будет предоставлять услуги бесплатно, то вряд ли ему понадобится лицензия в большинстве юрисдикций, мне кажется. Хотя, зарегистироваться как non-profit организация, думаю, можно.
Ещё раз призываю обсуждать в ключе менее суровых, но более вероятных проблем, типа бана на различных ресурсах. Которые к тому же почти не зависят от юрисдикции, местных законов и правоприменительной практики.
Если про бан по ip - аналог с заражением компьютера вирусом. Вылечиваешь и обращаешься за разбаном.
Как и в случае заражений вирусами, я предпочитаю профилактику лечению. Кроме того, что будет аналогом "вылечивания" в случае exit-node тора? Я вижу только отключение нода.
Именно так, прекратить предоставлять точку выхода левым лицам.
Именно так, прекратить предоставлять точку выхода левым лицам.
И приходим к тому же самому, с чего я начал: держание ноды сопряжено с рисками при отсутствии пользы для держателя, а значит сеть (исключая hidden services) не выживет при массовом использовании.
Ты вообще что-то конкретное сказать/посоветовать/предложить хотел или просто попи^W пообщаться пришёл?
И приходим к тому же самому, с чего я начал: держание ноды сопряжено с рисками при отсутствии пользы для держателя, а значит сеть (исключая hidden services) не выживет при массовом использовании.1. TOR'ом не только малолетние порноманы пользуются, но и бизнес. Риск того что из под тебя будут что-то делать за что тебя забанят довольно низкий.
2. У многих динамический IP и им пофиг на то, что этот IP могут забанить
3. Многие сидят за NAT'ом и та же ситуация когда IP один, а долбоебов за ним тысячи и за проделки одного забанят всех.
Так что не парься и не придумывай проблем на ровном месте.
И приходим к тому же самому, с чего я начал: держание ноды сопряжено с рисками при отсутствии пользы для держателя, а значит сеть (исключая hidden services) не выживет при массовом использовании.у тебя каша какая-то в голове.
как баны на ресурсах связаны с массовым использованием?
как раз для бана массовое использование не нужно - достаточно одного злоумышленника.
впрочем тор и так много где забанен превентивно (постоянно обновляющийся список exit нод найти несложно)
а вообще я подозреваю что тебе надо для начала прочитать http://www.torproject.org/docs/faq-abuse.html , а потом уже задавать свои вопросы.
Спасибо, ссылка очень годная. Особенно понравилось объяснение почему tor приносит пользу обычным юзверям, но никак не меняет ситуацию для крякеров и прочих пакостников (вообще-то по-моему кое-что меняет - снижает для них порог вхождения). Но в целом скорее укрепляет опасения. Забавно, что данная мной для примера, википедия, судя по нему, уже блочит exit-ноды для редактирования статей. А официальный полный их список - это фактически готовый блэк-лист для таких ресурсов. По мне так список exit-нод не должен быть никому доступен, если это технически возможно. Ну то есть понятно, что его можно достать сканируя все такие ноды с заходом на whatismyip.com, но с такими сканировщиками наверняка как-то можно бороться.
Правильно организованная p2p-сеть, на мой взгляд - это bittorrent, где почти все пользователи раздают (то есть расходуют свои ресурсы и несут риски перед копирастами - полная аналогия с exit-node). Это обеспечивается в первую очередь тем, что клиентский софт так настроен по-умолчанию (я вообще не видел клиентов, где бы можно было отключить раздачу - можно только занулять исходящий лимит), а так же рейтингом на некоторых трекерах. Поэтому, создавая эту тему, я был почти уверен, что в tor используется подобный подход.
Но риски у exit-ноды намного выше, чем у раздающего торренты. И касаются не только лоббистких законодательных ограничений, не имеющих ничего общего со справедливостью, но и неформальных сетевых законов, а так же более серьёзных обвинений в пособничестве крякерам.
у тебя каша какая-то в голове.Ты совсем не понял о чём я говорю. Баны на ресурсах, внесение в спам-листы, повышенный интерес правоохранителей - это потенциальный негатив, который ожидает тех, кто позволяет другим выходить в сеть через себя. Взамен он не приносит никакой пользы. Людей, которые готовы это делать за идею, не так много и они становятся пользователями системы в среднем раньше, чем казуалы, которых большинство. Таким образом, при увеличении количества пользователей, доля волонтёров будет падать, что будет ухудшать положение каждого пользователя.
как баны на ресурсах связаны с массовым использованием?
как раз для бана массовое использование не нужно - достаточно одного злоумышленника.
Правильно организованная p2p-сеть, на мой взгляд - это bittorrent, где почти все пользователи раздают (то есть расходуют свои ресурсы и несут риски перед копирастами - полная аналогия с exit-node). Это обеспечивается в первую очередь тем, что клиентский софт так настроен по-умолчанию (я вообще не видел клиентов, где бы можно было отключить раздачу - можно только занулять исходящий лимит), а так же рейтингом на некоторых трекерах. Поэтому, создавая эту тему, я был почти уверен, что в tor используется подобный подход.
Но риски у exit-ноды намного выше, чем у раздающего торренты. И касаются не только лоббистких законодательных ограничений, не имеющих ничего общего со справедливостью, но и неформальных сетевых законов, а так же более серьёзных обвинений в пособничестве крякерам.
Я тут подумал: а ведь спецслужбы Самой Демократической Страны™ наверняка имеют доступ к приватным ключам тех вебсайтов, которые получали SSL-сертификат у сертифицирующего центра на их территории. Подозреваю, что таких большинство.вроде как это делают спецслужбы, потому что много интересного проходит через эти нодыНу это не проблема - достаточно использовать tor только для ssl и прочих шифрованных
Ты должен доказывать что за рулем был не ты или это следствие должно доказать что ты управлял автомобилем?ну за превышение скорости, например, штрафуют владельца автомобиля. и он уже в свою очередь должен доказывать что в это время не сидел в своей машине.
Я тут подумал: а ведь спецслужбы Самой Демократической Страны™ наверняка имеют доступ к приватным ключам тех вебсайтов, которые получали SSL-сертификат у сертифицирующего центра на их территории. Подозреваю, что таких большинство.Сертифицирующий центр не выдает сертификат сайтам. Сайт генерит себе его сам, потом отправляет публичную часть в центр на подпись. Приватный ключ при этом центру не передается.
Другое дело что этот центр может точно также подписать сертификат на имя любого сайта для спецслужб, чтобы те могли делать MITM.
Спасибо за пояснение.
Ну то есть выходит, что даже при скомпромитированном сертифицирующем центре расшифровать трафик на exit-node не выйдет? Тогда выходит, что единственная атака, при которой будет полезна его компрометация - это DNS-спуфинг?
Пожалуй, надо будет почитать как работает SSL по-подробнее, а то я знаю только основные принципы...
Кстати, а tor как-нибудь защищён от DNS-спуфинга? В гентушной вики рекомендуют поставить в Firefox network.proxy.socks_remote_dns=true, то есть резольвить через tor, а значит через те же exit-ноды, которые могут и подменить адрес ресурса.
Ну то есть выходит, что даже при скомпромитированном сертифицирующем центре расшифровать трафик на exit-node не выйдет? Тогда выходит, что единственная атака, при которой будет полезна его компрометация - это DNS-спуфинг?
Пожалуй, надо будет почитать как работает SSL по-подробнее, а то я знаю только основные принципы...
Кстати, а tor как-нибудь защищён от DNS-спуфинга? В гентушной вики рекомендуют поставить в Firefox network.proxy.socks_remote_dns=true, то есть резольвить через tor, а значит через те же exit-ноды, которые могут и подменить адрес ресурса.
Ну то есть выходит, что даже при скомпромитированном сертифицирующем центре расшифровать трафик на exit-node не выйдет?как раз наоборот, выходная нода - прекрасный образец MITM. Соответственно они перехватывают твои запросы к гуглу, представляются гуглом, используя фейковый подписанный сертификат, и твой траффик в шляпе. в теории. На практике, насколько я понимаю, надо ещё постараться стать твоей выходной нодой, но насколько я помню, нод всего в мире не очень много, и заинтересованные стороны могут весьма повышать свои шансы, вводя свои ноды пачками.
Сертифицирующий центр не выдает сертификат сайтам. Сайт генерит себе его сам, потом отправляет публичную часть в центр на подпись. Приватный ключ при этом центру не передается.Не совсем верно. Сертифицирующий центр именно как раз сертификат и выдаёт. Сайт генерирует ключ и посылает запрос на сертификат, который содержит в том числе публичный ключ.
Но главное, что сертификатом удостоверяется связка ключа и дополнительной информации (вроде имени сайта). А приватный ключ не передаётся, да.
представляются гугломНу это и будет DNS-спуфинг. По идее, если я не буду резольвить через tor или внутри тора существует/будет создана распределённая база данных DNS на основе "большинства голосов" от большого количества нод, то не выйдет у exit-ноды представиться гуглом.
Хотя... может можно выпустить трафик в какую-нибудь vpn-ку, где одному из виртуальных серверов будет присвоен как раз ip ресурса?
На практике, насколько я понимаю, надо ещё постараться стать твоей выходной нодойНу случай, когда охотятся за мной лично, я не рассматриваю. Скорее опасаюсь выходной ноды, которая будет тупо спуфить весь проходящий через неё трафик на определённые ресурсы.
Нет, тут речь про то, что на ноде с помощью MITM просто подменят SSL сертификат сайта, на который ты заходишь, на другой (причём если нода принадлежит например спецслужбам - то на подписанный доверенным центром сертификации, так что браузер не выдаст предупреждения ) и будут читать или даже подменять твой трафик ;-)
) и будут читать или даже подменять твой трафик ;-)Ну это и будет DNS-спуфинг. По идее, если я не буду резольвить через tor или внутри тора существует/будет создана распределённая база данных DNS на основе "большинства голосов" от большого количества нод, то не выйдет у exit-ноды представиться гуглом.Если ты выходишь в сеть через вражеский узел, то им не нужен DNS-спуфинг чтобы перехватывать твой трафик.
Хотя... может можно выпустить трафик в какую-нибудь vpn-ку, где одному из виртуальных серверов будет присвоен как раз ip ресурса?
Допустим ты идёшь на google.com, резольвишь его допустим как 1.2.3.4 (без всякого спуфинга), потом через TOR посылаешь свой HTTP-запрос к 1.2.3.4. А они его уже перехватывают и устраивают MITM.
Хотя... может можно выпустить трафик в какую-нибудь vpn-ку, где одному из виртуальных серверов будет присвоен как раз ip ресурса?
Грубо говоря так. Но вообще можно прямо на маршрутизаторе сказать что трафик с такого интерфейса к 1.2.3.4 прозрачно направлять на 5.6.7.8, и ответы пересылать обратно (transparent proxy).
У меня тут возник вопрос: а браузер не должен будет тогда вывести ворнинг, что сертификат теперь другой? Пусть и тоже завереный.
У меня e-mail-клиент подобные ворнинги пару раз выдавал. От браузера, правда, не видел.
У меня e-mail-клиент подобные ворнинги пару раз выдавал. От браузера, правда, не видел.
У меня тут возник вопрос: а браузер не должен будет тогда вывести ворнинг, что сертификат теперь другой? Пусть и тоже завереный.Не принято такие ворнинги браузерам выдавать.
У меня e-mail-клиент подобные ворнинги пару раз выдавал. От браузера, правда, не видел.
Не знаю как насчёт email-клиентов, но ssh-клиент выдает такого рода ворнинг, что ключ сервера поменялся. Но там он это вынужден делать потому что SSH-ключи не подписываются никаким удостоверяющим центром.
В SSL же мы типа доверяем удостоверяющему центру, и если он подписал публичный ключ сервера - то лишний раз пользователя не нервируем, а то он и так уже привык на все предупреждения "ок" жать.
и если он подписал публичный ключ сервера - то лишний раз пользователя не нервируемв общем случае неверно, т.к. возможна проверка на отозванность http://en.wikipedia.org/wiki/Online_Certificate_Status_Prot... .
в общем случае неверно, т.к. возможна проверка на отозванностьЛюбят же тут придираться, ясно же что речь шла не об этом
С точки зрения криптографии проверка на отозванность вообще штука странная очень. Потому что совершенно непонятно что делать когда сервер проверки не отвечает - либо это MITM блокирует этот трафик и надо паниковать, либо просто сетевые проблемы и нужно пропустить проверку.
Похоже, я нашёл способ борьбы с подменой сертификатов:
http://www.eff.org/observatory
когда поставил плагин HTTPS Everywhere, который решил поставить, чтобы не быть потенциально уязвимым перед остальными (не NSA-шными) выходными нодами. А он заодно и для NSA-шных решение предложил после установки.
Насколько я понимаю, Обсерватория как раз даёт возможность всегда следить за тем, чтобы сертификат, который видит пользователь, был идентичен сертификату, который видят все остальные.
http://www.eff.org/observatory
когда поставил плагин HTTPS Everywhere, который решил поставить, чтобы не быть потенциально уязвимым перед остальными (не NSA-шными) выходными нодами. А он заодно и для NSA-шных решение предложил после установки.
Насколько я понимаю, Обсерватория как раз даёт возможность всегда следить за тем, чтобы сертификат, который видит пользователь, был идентичен сертификату, который видят все остальные.
Оставить комментарий
dangerr
Насколько я понимаю архитектуру сети, то её можно свести к тому, что пользователь в каждый момент времени выполняет запросы от имени какого-то другого пользователя. Это значит, что он может делать в том числе и всякие нехорошие вещи от имени других пользователей.Существует ли какая-то защита в сети tor от действий таких пользователей? Можно ли быть уверенным, что не поимеешь проблем с законом или просто бана на различных ресурсах из-за действий третьих лиц?