Java wrapper починили, а то же два месяца им не пользуюсь. Ломка начинается.

В смысле это вопрос написал: Java wrapper починили?

Разрешено

Надо будет поставить, пока ещё не забанили.

А что с ним было не так?

Поддержка SSL в серверном HTTP-туннеле.

Осталось понять нахрена это нужно в криптосети, где и так всё шифруется в три слоя.

А ещё есть православный i2pd, который не требует жабы, жрёт в десятки раз меньше памяти и в 5-6 раз - процессора.

Осталось понять нахрена это нужно в криптосети, где и так всё шифруется в три слоя.

Ты можешь держать один роутер i2p на всю подсеть, и ходить на её прокси с другой машины. Вот между роутером и твоим клиентом будет участок сети, который не шифруется.

А ещё есть православный i2pd, который не требует жабы, жрёт в десятки раз меньше памяти и в 5-6 раз - процессора.

Как оно? Всё реализовано и работает? А то я не видел живых пользователей, а самом проверить лень.

А ещё есть православный i2pd, который не требует жабы, жрёт в десятки раз меньше памяти и в 5-6 раз - процессора.

И который уязвим к простейшим атакам по типу heartbleed со стороны ФСБ. C++ лишит вас не только явы, но и свободы, здоровья и жизни, скастовав пативен.

Вот между роутером и твоим клиентом будет участок сети, который не шифруется.

Шта? https-вход прокси (4445 порт) существует уже чёрт знает сколько. Речь идёт о серверном тоннеле.

Всё реализовано и работает?

irc/http/socks/sam/bob - есть. Вебинтерфейса и прочих приблуд - нет, и это правильно. http/irc работает, лично проверял, остальное без надобности.

https-вход прокси (4445 порт) существует уже чёрт знает сколько.

Оу, точно. Сорри.

Вебинтерфейса и прочих приблуд - нет, и это правильно.

А как туннели добавлять? Конфиг и перезапуск демона?

пруф, а то страшно стало.

heartbleed

Там не используется openssl.

атакам со стороны ФСБ

...и не используется GOST. Шапочку из фольги надень, авось поможет. И огурец в задницу, для усиления связи с землёй.

Кстати о «безопасной» жабе и «небезопасном» c++. Выдержки из новостей для 7й/8й ветки:

Что касается исправленных в Java SE 7u75 и 8u31 уязвимостей, то 14 из них могут быть эксплуатированы удалённо без проведения аутентификации. 4 уязвимостям (CVE-2014-6601, CVE-2015-0412, CVE-2014-6549, CVE-2015-0408) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

В выпусках Java SE 7u71/72 и Java SE 8u25 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 25 проблем с безопасностью. 22 уязвимости в Java могут быть эксплуатированы удалённо без проведения аутентификации. 1 уязвимости (CVE-2014-6513) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 5 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 5 проблем, максимальная степень опасности которых 6.9, затрагивают не только клиентские, но и серверные системы.

Компания Oracle опубликовала корректирующий выпуск Java SE 8 Update 40 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) с устранением 645 ошибок.

ещё есть православный i2pd

Ты пробовал этим пользоваться? Слишком сырой и недоделанный. Олсо мне вот страшновато пользоваться программой на c++ в такой сфере

мне вот страшновато пользоваться программой на c++ в такой сфере

А на Java не страшно?

написан на Java

ужас какой.

Нет, конечно. Я сам java-программист и ораклист. Открывашку бутылок и значок SUN храню как реликвии. Java объективно лучшее что придумало человечество в языках программирования за последние этак двадцать лет.

Ты пробовал этим пользоваться?

Пользуюсь регулярно. Проблемы?

Слишком сырой и недоделанный.

Без пруфов на багзиллу — ты балабол, ферштейн?

Олсо мне вот страшновато пользоваться программой на c++ в такой сфере

А прогой на жабе, в которой в минорном релизе правят по десятку *удалённых* дыр и по паре сотен «тупо багов» - не страшно?

Кстати, куда слилась предыдущая ванга?

Выдержки из новостей для 7й/8й ветки

Это про оракловскую жаву, если что. Есть такое же про openjdk?

И да, я более чем уверен что это про браузерную жаву. i2p работает локально, там нет никакой песочницы которую можно сломать. Наружу смотрят только голые сокеты.

Годно, нужно, ждём ебилдов PKGBUILD'ов

Кстате, прошу желающих получить свежую версию в генте голосовать здесь: https://bugs.gentoo.org/show_bug.cgi?id=551050

Ты уже прокололся на https-прокси, не усугубляй.

Голые сокеты, говоришь? Ну-ну. Как насчёт её вебморды, где уже находили xss? Встроенного вебсервера, jetty с поддержкой как минимум cgi? Реализации http-стека в eepget, которым качают ресиды, обновления и подписки? Встроенного торрент-клиента? Встроенной вебморды почты? Сторонних плагинов, обновляемых автоматом? BOB/SAM/I2CP? xfontconfig'а и сопутствующих ошмётков иксов, которые дёргаются при построении этих красивых графиков в вебморде? JNI и «ускорялки криптографии» на си, написанной жабистами?

Близорукость жабофилов просто поразительна.

https://toster.ru/q/199281

Встроенного вебсервера, jetty с поддержкой как минимум cgi?

Отключается легко.

Реализации http-стека в eepget, которым качают ресиды, обновления и подписки?

Вот это хз, но думаю тоже отключается.

Встроенного торрент-клиента?

И как его похакать?

Встроенной вебморды почты?

Которой никто не пользуется, потому что централизованная почта в i2p это извращение.

Сторонних плагинов, обновляемых автоматом?

Ну знаете, как это записать в баги линукса дыры установленных поверх него программ.

И я не жабофил, я JVM как таковую не люблю. Но конкретно здесь поле для взлома невелико.

А ты проверял, что доступ ко всему что нужно есть у того юзера под которым запускаешь?

Так чё ставить то? Меня и плюсы и жаба пугает.

Жабная реализация основная, плюсовая — от сторонних разработчиков. При прочих равных лучше ставить официальную жабную, потому что там будут все свежие изменения.

Логично, спасибо.

Непривычно, что новость не от анонимуса :3

Но конкретно здесь поле для взлома невелико.

Во-первых, ты предпочёл проигнорить всё остальное. Во-вторых, это всё взаимодействует с внешним миром вне jvm, и значит в этом месте песочница проламывается при определённых условиях. И это в дополнение к багам и дырам самого jvm.

Комбайны никогда не бывают безбажными, тупо потому, что автор берётся за все области сразу. А писано это - 2-3 человеками от силы, не считая «однокоммитчиков» и примкнувших.

Отключается легко.

...вместе с вебмордой. Сколько из юзеров это делают, 1%?

но думаю

«индюк тоже думал, пока, ^&#^, на шашлык не попал»

И как его похакать?

Открываем сегодняшнюю новость про скайп и читаем. Принцип тот же - неправильно сформированные данные, ошибка в логике.

Которой никто не пользуется, потому что централизованная почта в i2p это извращение.

Не аргумент, включено по умолчанию, код в работе.

Ну знаете, как это записать в баги линукса дыры установленных поверх него программ.

Не передёргивай, я приводил это в контексте, что до них можно добраться из «песочницы» и заюзать дырку.

это всё взаимодействует с внешним миром вне jvm, и значит в этом месте песочница проламывается при определённых условиях

Ещё раз, там нет песочницы. Это не та java которая в браузере, это полноценный веб-сервер, имеющий доступ к системе by design.

...вместе с вебмордой.

Эмм. Чтобы потушить смотрящий наружу сервер, надо просто выключить его туннель. Или мы про разные сервера?

Не аргумент, включено по умолчанию, код в работе.

Это i2p, а не софт для домохозяек. Там всё выключается, а на умолчания плевать.

Алсо, аргумент про «2-3 человека» не канает, потому что ему уже больше десяти лет, и за найденные баги ЕМНИП дают вознаграждение биткоинами. XSS был единственной известной рабочей уязвимостью, которую я могу припомнить за всё время существования i2p.

Чтобы потушить смотрящий наружу сервер, надо просто выключить его туннель. Или мы про разные сервера?

Ты опять не владеешь матчастью. Серверный туннель - вещь отдельная, но jetty отвечает также и за вебморду. И кроме того, усиленно предлагается как штатный вебсервер.

Там всё выключается, а на умолчания плевать.

«Сматли мама, я хакир!»

Алсо, аргумент про «2-3 человека» не канает, потому что ему уже больше десяти лет

вспоминаем анекдот про неуловимого индейца Джо

и за найденные баги ЕМНИП дают вознаграждение биткоинами.

Отгадай с одного раза, хватит ли у разрабов денег, чтобы перекупить баг, который нашли и собираются продать на чёрном рынке? Этож какая заготовка для ботнета.

XSS был единственной известной рабочей уязвимостью, которую я могу припомнить за всё время существования i2p.

Это говорит лишь о твоей неосведомлённости, и ничём более. См выше про индейца.

Серверный туннель - вещь отдельная, но jetty отвечает также и за вебморду. И кроме того, усиленно предлагается как штатный вебсервер.

Если серверный туннель отключен, то каким образом ты достучишься до локальной вебморде, которая висит на 127.0.0.1?

вспоминаем анекдот про неуловимого индейца Джо

Ну в общем-то да, вот только это не доказывает ни уязвимости, ни неуязвимости. Зато торговля веществами и поддельными документами там вполне себе процветает, о рейдах ZOG что-то не слышно.

Отгадай с одного раза, хватит ли у разрабов денег, чтобы перекупить баг, который нашли и собираются продать на чёрном рынке?

Чёрный рынок ещё найти надо. А тут вполне законный открытый заработок. К тому же ты сам говорил про индейца — кто будет покупать инфу об уязвимости сети, где 100к узлов с трудом набирается?

А ты проверял, что доступ ко всему что нужно есть у того юзера под которым запускаешь?

Так всё работало, вот испортили несколько месяцев назад апдейтами

Так проверял? Может там новый файлик с апдейтом прилетел, и права не те выставились каким-то образом.

Если серверный туннель отключен, то каким образом ты достучишься до локальной вебморде, которая висит на 127.0.0.1?

А это не единственный способ. Почта, торренты, syndie - это всё сюда же. «Новости» на главной, кстати, тоже. Хост откуда они качаются можно сломать, и jetty будет послушно рендерить то, что мы ему подсунем под их видом.

Зато торговля веществами и поддельными документами там вполне себе процветает.

Голословно, историй успеха лично я не слышал ни одной, крупных магазинов - тоже нет, клоны силкроада на LAMPе я не считаю. Рейдить там пока нечего, есть намного более быстрый и так и не сломанный тор.

А тут вполне законный открытый заработок.

...и до смешного маленький.

100к узлов

это уже немало. Плюс в наличии сильная криптография, и «примелькавшиеся» провайдеру хосты с большими объёмами шифрованного трафика.

историй успеха лично я не слышал ни одной

Историй успеха от кого? На скрытаче были. А IRL конечно не услышишь, оно же анонимное.

есть намного более быстрый и так и не сломанный тор

У тора области применения другая, и у него уязвимость выходной ноды by design.

это уже немало

Ты же только что говорил что оно никому не нужно и вообще неуловимый Джо.

«Новости» на главной, кстати, тоже. Хост откуда они качаются можно сломать, и jetty будет послушно рендерить то, что мы ему подсунем под их видом.

Ок, согласен что оно взаимодействует с внешними хостами. Но я не думаю что там есть что хакать, разве что вредную ссылку в новость подсунуть и ждать, пока кто-то перейдёт.

Оно до сих пор на жабе? В топку!

Олсо мне вот страшновато пользоваться программой на c++ в такой сфере

Тогда от жабы у тебя должен инфаркт случаться.

И который уязвим к простейшим атакам по типу heartbleed со стороны ФСБ. C++ лишит вас не только явы, но и свободы, здоровья и жизни, скастовав пативен.

Только ирл пативен почему-то все время фбровский. Что-то неладно в этой сказке...

Историй успеха от кого? На скрытаче были.

«Я тян, пруфов не будет», ага. Это мог быть и владелец магазина, лол. Ещё раз, докажи мне своё утверждение «процветает».

У тора области применения другая, и у него уязвимость выходной ноды by design.

А я и не говорил про выходную ноду. тот же силкроад жил как скрытый сервис.

Ты же только что говорил что оно никому не нужно и вообще неуловимый Джо.

Именно. Никто тоже не думал, что openssl можно легко проломить, но когда это случилось, косяки попёрли валом.

Но я не думаю

Вот, опять. А ты попробуй, srsly. Знаешь такую англоязычную идиому?

тот же силкроад жил как скрытый сервис.

В плане скрытых сервисов там почти то же самое что у i2p, только меньше шифрования.

Именно. Никто тоже не думал, что openssl можно легко проломить, но когда это случилось, косяки попёрли валом.

Не понял логики. При чём тут «никто не думал» к нужности или ненужности? Либо сеть популярна и есть желающие её хакнуть, либо непопулярна и на хаки никто не будет обращать внимания. i2p популярна, но информации о хаках кроме XSS не было, поэтому можно считать её условно безопасность (условно, потому что 100% безопасного софта не бывает).

Пока есть тор, точнее тор-браузер, эта поделка не взлетит. Просто по закону простоты и удобства. И дискредитация тора не поможет.

В плане скрытых сервисов там почти то же самое что у i2p, только меньше шифрования.

А вот и нет. i2p лезет в сам http за подменой заголовков. Но это работает в обе стороны - поставь галочку напротив ещё одного вектора атаки. А Tor работает как socks, и ему абсолютно похрен, что там передаётся уровнем выше, это просто труба для данных.

Не понял логики.

Ещё раз - сеть маленькая, да, поэтому *сейчас* не заморачиваются, думая что сложно и не окупится. Но вот всплывает некий баг детского уровня, народ прозревает и сеть начинают целенаправленно разбирать по запчастям. Сразу и много. Халява, сэр.

Вот например такой занятный факт, как ручное регулирование количества флудфилов в сети - ни о чём не говорит?

но информации о хаках кроме XSS не было

...или ты про них не слышал, повторяю.

Глобальная проблема i2p - в упоротейшей архитектуре. Да, криптографии накручено сверх всякой меры и здравого смысла, но в инфраструктуре - слона можно протащить через дыру в заборе. Ресид, например. Отличная штука.

Тор и i2p не конкуренты, у них разные области применения.

В чем разница для конечного пользователя?

В том что они для разных нужд используются. tor это такой проксик для доступа к интернету, а i2p это закрытая извне самостоятельная сеть.

Я не спрошу зачем это нужно.
Я не спрошу, чем оно лучше/хуже тора.
Но для чего им пользуются? В руторе есть, как минимум, RAMP, R2D2. В заграничном торе SM, BMR.
Что есть сегодня в айтупи?

У тора области применения другая, и у него уязвимость выходной ноды by design.

При общении с онион сайтами никакой выходной ноды нет. А вот у айтупи есть бай дизайн уязвимость со списком айпишников и ддосом. Ну да и хрен бы с ним, что там есть-то хорошего?

Онион сайты не прижились, их мало и они малопопулярны. Хз почему так, видимо исторически сложилось.

А вот у айтупи есть бай дизайн уязвимость со списком айпишников и ддосом.

Можно поподробнее?

А что там хорошего — хз если честно, я там редко бываю в последние пару лет. До этого новости почитывал и на бордах сидел.

Сейчас через меня идёт трафик 150kbps (такое ограничение чтобы ресурсы не жрало, можно и больше), так что сеть как минимум не умерла :)

В том что они для разных нужд используются. tor это такой проксик для доступа к интернету, а i2p это закрытая извне самостоятельная сеть.

Не хотел разводить срач тор vs айтупи, но это вообще огонь.

Эмммм...
В торе есть работающие рынки с большой аудиторией, я хотел узнать о чём-то подобном в айтупи.

По поводу атаки - с мобилы пруфы искать лень. Общий смысл: по списку айпишников кто-то, обладающий достаточными мощностями(спецслужба) по имеющемуся списку айпи кладет половину хостов. Если искомый в строю - половину от оставшихся. И т.д, до вычисления сервера.