LINUX.ORG.RU

Firefox, Tor и RequestPolicy. Безопасность межсайтовых запросов.

 , , ,


0

4

Предположим, есть Firefox, в котором установлены расширения FoxyProxy и RequestPolicy. Через FoxyProxy по-умолчанию все сайты идут через прокси (Tor), но некоторые настроены открываться напрямую.
Есть сайты abc.xyz и def.xyz. abc.xyz - открывается через Tor, def.xyz - напрямую.
Но: На сайте abc.xyz RequestPolicy отлавливает запрос к сайту def.xyz (например, на abc.xyz картинка с def.xyz). Если разрешить запрос, он пойдёт напрямую.
Вопрос: Насколько это является уязвимостью для безопасности? Сможет-ли сайт abc.xyz узнать не только IP exit-node Тора, но и реальный IP, с которого через него запрашивался def.xyz? Сможет-ли связать их? Сможет-ли def.xyz узнать не только реальный IP, но и адрес exit-node? Стоит-ли опасаться такой ситуации?
Заранее спасибо. cast AITap, Alsvartr (Извините, просто вы подробно объяснили и помогли в предыдущей теме)


Насколько это является уязвимостью для безопасности?

Зависит от твоей модели угроз.

Сможет-ли сайт abc.xyz узнать не только IP exit-node Тора, но и реальный IP, с которого через него запрашивался def.xyz?
Сможет-ли связать их?
Сможет-ли def.xyz узнать не только реальный IP, но и адрес exit-node?

Зависит. Самый тривиальный случай, в котором ответ «да» — определенный субъект имеет доступ к abc.xyz и def.xyz.

Стоит-ли опасаться такой ситуации?

Зависит от твоей модели угроз.

Вангую твоим следующим вопросом будет: «Может ли имя_расширения содержать ошибку, допускающую утечку реального IP? Насколько это является уязвимостью для безопасности?».

anonymous ()

Да. Педофилов так и ловят - размещают на скрытых сайтах ресурсы из клирнета.

Уже то что ты используешь тор и клирнет через один браузер уязвимость.

KillTheCat ★★★★★ ()

Сможет-ли сайт abc.xyz узнать не только IP exit-node Тора, но и реальный IP, с которого через него запрашивался def.xyz?
Сможет-ли def.xyz узнать не только реальный IP, но и адрес exit-node?

Если abc.xyz и def.xyz никак не связаны, а exit-нода не является зловредной (или все соединения защищены SSL TLS>=1.2 с напрямую доверяемыми сертификатами), то, вероятно, не сможет. На практике мы не можем доказать, что abc и def не связаны, да и никто не гарантирует, что соединение с def и exit-ноду, через которую идёт трафик до abc, не прослушивают одни и те же шпионы.

Стоит-ли опасаться такой ситуации?

Если есть возможность защитить себя от профилирующей атаки, лучше это сделать. Таких атак придумано очень много, не случайно https://check.torproject.org/ проверяет, открыт ли он через Tor Browser: пользователям Tor выгодно быть как можно более одинаковыми.

AITap ★★★★★ ()

Есть сайты abc.xyz и def.xyz. abc.xyz - открывается через Tor, def.xyz - напрямую.
Но: На сайте abc.xyz RequestPolicy отлавливает запрос к сайту def.xyz (например, на abc.xyz картинка с def.xyz). Если разрешить запрос, он пойдёт напрямую.

Это совсем не является уязвимостью для безопасности. Но позволяет узнать твой реальный ip.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 3)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.