Пользователь
30,2
рейтинг
26 августа 2013 в 13:34

Разработка → Tor предлагают встроить в браузер Firefox как стандартную опцию

В трекере Bugzilla зарегистрирован билет 901614, в котором предлагается улучшить безопасность браузера Firefox, внедрив в него анонимайзер Tor в качестве стандартной опции.

Это довольно смелое предложение. Сеть анонимайзеров Tor до недавнего времени считалась в каком-то смысле экзотической технологией, которую используют только хакеры и диссиденты. Всё изменилось в последние месяцы, после истории с тотальной прослушкой интернет-трафика со стороны АНБ и других спецслужб. В нынешних условиях криптография и анонимайзер нужны каждому человеку, который хочет гарантировать конфиденциальность своих коммуникаций.

Если будет реализована инициатива по внедрению Tor в браузер Firefox, то «луковичный» анонимайзер станет стандартным средством для сёрфинга по Сети.

Tor работает как распределённый многослойный анонимайзер, состоящий из тысяч узлов, пропускающих через себя трафик по непредсказуемому маршруту, с добавлением дополнительного слоя шифрования на каждом узле (отсюда и название «луковичный» маршрутизатор — The Onion Router, TOR).





Пользователи запускают прокси-сервер на своей машине, он подключается к серверам Tor, периодически создавая цепочку сквозь сеть Tor, которая использует криптографию многоуровневым способом. Каждый пакет, попадающий в систему, проходит через три различных прокси-сервера, которые выбираются случайным образом. Перед отправлением пакет последовательно шифруется тремя ключами: сначала для третьего узла, потом для второго, и, в конце концов, для первого. Когда первый узел получает пакет, он расшифровывает «верхний» слой шифра (аналогия с тем, как чистят луковицу) и узнает, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом.



В сети Tor существуют так называемые «скрытые сервисы» — сайты в домене .onion, просмотр которых возможен только с помощью браузера Tor. Физическое местонахождение серверов так же скрыто, как и IP-адреса пользователей.

Что характерно, пакет программного обеспечения Tor и сейчас собирается на базе Firefox 17.0.8esr. Он содержит настроенную версию браузера, а также необходимые расширения, в том числе HTTPS Everywhere, NoScript, LibPNG и др.
Анатолий Ализар @alizar
карма
749,5
рейтинг 30,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (61)

  • +35
    На хабре неделя анонимайзеров и интернет-секурности: Ализар постит подходящие по смыслу тикеты из багтрекеров.

    По теме: Tor Browser Bundle не просто так использует собственную сборку.
    • +1
      Насколько я помню недавно был дикий скандал с уязвимостью в его (не самой новой версии) Firefox-ной основы.
      habrahabr.ru/company/eset/blog/188974/
      blogs.computerworld.com/cybercrime-and-hacking/22595/fbi-behind-firefox-zero-day-compromising-half-all-tor-sites
      • 0
        На самом деле это проблема не Tor Bundle, а именно Firefox 17 ESR.
        Tor Bundle правильно делает, что использует ESR версию, в которую не вносятся новые фичи, а только фиксятся security баги.
        Поэтому она более надежная в плане безопасности, чем другие версии.
        • 0
          Tor Browser Bundle включает в себя Firefox, иначе теряется смысл названия. Так что проблема именно у него.

          Как раз тот факт, что у очень многих была именно эта версия как под копирку, с теми же багами, обусловил эту ситуацию. Один из аспектов большей безопасности open source, между прочим, большое разнообразие версий и наборов программ, что затрудняет массовые атаки.
          • 0
            Эта версия была у тех, кто не обновлялся давно. В актуальной версии бандла баг был пофиксен.
            И это все же не проблема бандла, так как вы можете Тор прикрутить и к обычному FF и поймать этот же баг, если давно не обновлялись.
  • +13
    Сейчас ведут консультации о запрете Tor, а после внедрения его в браузер запретят Firefox целиком.
    • +19
      ст 23.2
      Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

      ст 24.1
      Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

      Прийдется конституцию переписать)
      Да и если у пользователей перестанет работать Firefox, или хром — это только к лучшему. Люди наконец-то зашевелятся, все без исключения
      • +2
        Не так давно были гонения в сторону криптографии, особенно всяких чипов, и ничего — никто конституцию не переписывал
        • 0
          Я полагаю это не коснулось обычных людей. Тот факт, что человек не может внезапно посмотреть с утра погоду/пробки, почитать пару пабликов, или послушать музыку мгновенно заставит его шевелиться.
      • 0
        А также статья 50 с чем-то там «Права и свободы могут быть ограничены… тогда-то и тогда-то»
        • +1
          в 55 есть
          2. В Российской Федерации не должны издаваться законы, отменяющие или умаляющие права и свободы человека и гражданина.
          3. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

          Не вижу чем анонимайзеры могут вредить чьим-то интересам, а вот их запрет нарушает право на тайну
          • +6
            У вас просто глаз не намотан — а вот наши законописатели могут найти наркотики, суицид и цп там, где никто другой этого бы не заметил. Трудятся в поте лица — зрение тренируют.
            • +1
              «глаз не намотан» — очепятка? :) Чето муражки побежали по… глазу.
              А по сути я с Вами согласен… У нас все перед законом равны, но некоторые все же ровнее. Их анонимность и тайну переписки закон и охраняет, игнорируя права остального населения.
          • +8
            безопасности государства
            Вуаля, как говорится. Поскольку нонче на постсоветском пространстве модно трактовать «безопасность государства», как «безопасность текущего строя» — вот и повод нашелся :)
      • 0
        Касательно ст.23.2: у правоохранительных органов должен оставаться механизм контроля, на случай если судебное решение получено, так что поводов запретить браузер целиком у наших власть имущих будет предостаточно.
      • +1
        Придется конституцию переписать)

        Поправки к Конституции России.
      • +1
        Прийдется конституцию переписать)

        29.5 Гарантируется свобода массовой информации. Цензура запрещается.

        И никто ничего не переписывал, просто забили.
      • 0
        > Каждый имеет право на тайну переписки

        В специально отведённых местах, по предварительному согласованию с властями, по четвергам с 5 до 5.15 утра.
      • 0
        Но нет статьи, гарантирующей право на использование всех доступных средств для защиты тайны переписки и т. п. Право на тайну есть, государство её типа охраняет.
    • +1
      Вот и я о том же сразу подумал. Сижу через FF и пока не охото от него отказываться. Хотя сама идея запрета анонимайзеров дурно попахивает, и предлог как всегда очевидно-бессмысленный, однако для общественности этого как всегда хватает.
  • –2
    Никто не в курсе, как у TOR обстоят дела с IPv6?
  • +1
    Не очень ясен смысл:
    Если постоянно переключаться между режимами, будет только видимость анонимности, а если держать его постоянно включенным — чем это лучше использования tor'овской сборки?

    Вроде бы инициатива хороша с точки зрения пропаганды тора и комнании, но огнелис сам по себе гиковский браузер (привет, хром) и его пользователи как правило в курсе ситуации.
    • +4
      > но огнелис сам по себе гиковский браузер

      Весьма спорно.
      У меня куча клиентов, достаточно неблизких к IT, его используют.
    • +3
      «гиковский браузер»? по статистике, что сходу на гуглил — по состоянию на февраль в рунете его использовал каждый пятый. Довольно много гиков, не находите?
      • 0
        Я имел ввиду что большинство гиков пользуется именно им, а не то что им пользуются только гики
        • +1
          Большинство знакомых именно гиков пользуются хромом или оперой, причём второй больше, т.к. так сложилось исторически.
          А фокс открывают разве что ради удобного файрбага.

          пс. Ни на кого не обобщаю, сужу по дюжине гиков из своего отдела.
          • 0
            FF скорее закрываю ради удобного файрбага.
          • 0
            А фокс открывают разве что ради удобного файрбага.

            А так же ради удобного video download helper, tab mix plus, adblock (в Firofox он вроде как помощьнее работает) и всех остальных удобных расширений, которые для Chrome и всего остального невозможно реализовать ввиду ограничений, налагаемых на расширения движком webkit (и его производными).
    • 0
      Я вот сделал отдельный чистый профиль FF, в котором TOR включен постоянно.
  • +1
    Если будет реализована инициатива по внедрению Tor в браузер Firefox, то «луковичный» анонимайзер станет стандартным средством для сёрфинга по Сети.


    Последний раз когда я пользовался Тором, лет пять назад, это было удовольствие для терпеливых. Странички грузились так, как будто я вернулся в детство во времена 33.6kbps. Поэтому нет, не станет. Скорость работы интернета для 99% пользователей важнее анонимности.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        Нет, скорость так и осталась черепашьей. Полгода назад я писал многопоточный парсер и дабы не покупать сотню прокси решил воспользоваться тором. В итоге однопоточный парсер без тора работал так же быстро как 30 потоков через тор, а некоторые страницы не укладывались в 30-секундный тайминг. Плюс выяснилось, что ряд сервисов попросту блокируют торовые ноды. Например, скачать файл с депозита через тор мне не удалось, как по причине «обождите 2 часа», так и попросту «access denied».
        • 0
          30 потоков? Учитывая, что страница сейчас состоит из сжатой основы на 1-10кб + 10 JS скрипотов + 2-5 css + 10-20 картинок. Разницы с тором действительно не будет никакой т.к. страница будет загружаться в несколько потоков и так. И тор вообще для таких целей нальзя использовать, вот поэтому вас дипозит и банит, что вы парсите прямые ссылки с него и скачиваете обходя все ограничения.
      • 0
        Конечно, если вы сидите на топовом оптоволокне по всему земному шарику — то, может быть, и не чувствуется.
        Я на днях настроил тор под Chrome. Интернет у меня не самый быстрый, и при этом пинг увеличивается с 20мс до 200+мс и скорость падает в разы.
    • +5
      Когда я лет 10 назад начал пользовался интернетом, это тоже было удовольствие для терпеливых.
      Если «по умолчанию» плагин будет включен на ретрансляцию трафика, то скорость будет ого го.
      Все зависит от масштаба.
    • +1
      Там вроде чем больше будет пользователей тем быстрее будет работа всей сети. А если подключить всех юзеров FireFox это будет ого-го толпа.
      • 0
        К еще большим пользователям надо еще больше выходные нод добавлять, тогда да, будет быстрее.
  • +10
    Это актуально. rutor.org внесли в реестр(
  • 0
    Это отличная идея. Прекрасный дифференциаtor для Firefox.
  • 0
    Вот объясните. Как можно доверять если Эрика Маркеса уже арестовали. Или вся сноска на дырявось огнелиса, на основании которой и сумели выйти на основателя Tor Freedom Hosting, с последующим закрытием всего тор хостинга?
    • 0
      Главная проблема TOR — малое количество узлов (3k при хорошей погоде). Правительства запросто за счет своих подставных узлов могут утроить эту цифру не напрягаясь. Ну и хостилось половина ониона на одном хостинге, который и захватили с помощью банальных «маски шоу». Сам по себе TOR не скомпрометирован, хотя он и далеко не идеален.

      Вот эти проблемы таким образом и пытаются разрешить. Больше пользователей — надежнее сеть.
      • +1
        А как же скорость? Посмотрел тор, прошелся по сайтам с главной страницы вики… Грузится долго, да и сама скрытая вика тоже не летает. Прям вспомнил времена диал-апа на 34кбт/с.
        • 0
          • +2
            Везёт У меня спидтест даже не открылся через tor. :)
            • 0
              Разбирайтесь с настройками тора ;)
  • +11
    NSA станет самым большим провайдером Tor нод.
  • 0
    Использую связку Tor-Iron уже порядка трех лет, но пользуюсь крайне редко. Даже подумывал удалить Tor с Видалией… но тут Сноудены набежали, и оставил. А чем так замечательна связка именно с Firefox?
  • –3
    Года три назад ставил себе Tor под Ubuntu, на следующий день после этого утянули аккаунт из ICQ. Уж не знаю связаны были эти факты или нет, но с тех пор как-то боязливо его использовать. Скажите, пожалуйста, стоило ли грешить на Tor?
    • +2
      Ага! У одного моего знакомого от тора вообще брат умер.

      Если Вы передавали учетные в некриптованном состоянии, то не важно через тор или нет, увести могли и так и так.
      • 0
        С братом вы загнули, всё-таки. Дело в том, что несколько лет до этого момента и после, подобных проблем не было.
      • +1
        Получается, что клиент не шифровал пароли?
    • +1
      Воровать можно на «выходящем» ноде, для этого надо стать не пользователем, а участником. Там, в видалии есть соответствующая галочка… так что — все возможно.
      • 0
        И как с этим жить?) В смысле защищаться.
        • +2
          Авторизоваться только на HTTPS сайтах.
        • +1
          Я вспомнил для вас одну статейку… не знаю, насколько актуальна информация на сей день, но все же.
          • 0
            Спасибо. Я, как говорит автор, был «неправ дважды»…
  • 0
    Вообще, на сколько я понимаю, это было бы хорошо, если бы не было так медленно…

    Надеюсь Мозилле хватит остатков влияния чтобы побудить провайдеров и вебмастеров принять и поддержать эту инициативу со своей стороны.
  • 0
    >Сеть анонимайзеров Tor до недавнего времени считалась в каком-то смысле экзотической технологией, которую используют только хакеры и диссиденты.

    Ну почему же?
    Ещё удобно обходить запреты сети в офисе.
    Я и сейчас использую.
    Скайп у нас разрешён, а вот прочие мессенджеры нет. Для них и пользуюсь.
  • 0
    Пусть цветут разные цветы. Специализированный бандл для тех, кто в курсе и применяет осознанно, и простейшая кнопка для всех остальных обывателей, которые выходят в публичных интернет-кафе в свои социальные сети по открытым протоколам и не задумываются. Мне вот тоже недавно внезапно понадобился tor для покупки в штатовском tommy hilfiger. С российского ip упорно редиректил на российскую же страницу.

    Тема того, что по открытым протоколам надо уже плавно переставать работать, правильная. Расширения вроде «HTTPS Finder» для Firefox помогают хотя бы пользоваться https для сайтов, где такая возможность есть. Microsoft например. Чем больше будет шифрованного трафика, тем лучше. В идеале — весь трафик интернета должен быть шифрованный.
    • 0
      > и простейшая кнопка для всех остальных обывателей, которые выходят в публичных интернет-кафе в свои социальные сети по открытым протоколам и не задумываются
      Так у них после нажатия простейшей кнопки, при авторизации в социальных сетях по открытым протоколам, пароли на exit-нодах будут утягивать.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.