LINUX.ORG.RU

Борьба с деанонимизацией.

 , , , ,


4

3

В свете творящегося сегодня ужаса (нам таки официально ввели цензуру, что она не адекватна хотя бы из-за блоков по айпи отдельная тема), проснулся интерес к анонимным сетям (я законопослужный гражданин, ну может кроме торрентов да и то не в особо крупных размерах, скрывать то толком нечего, но блин раз делать так как следует). Я произвёл ряд хитрых манипуляций. Приобрёл VDS в СШП. Прокинул openvpn. На домашнем роутере поставил squid. На нём же поставил privoxy и tor. Сделал табличку в мускуле и пару external acl для squid. Первый acl смотрит в мускуле записи и на их основе принимает решение пустить прямо или через privoxy, который в свою очередь тащит в tor, так же по записям он может и кидать на сквид в СШП (VDS). Второй проверяет есть ли у провайдера на dst (домен) блокировка, если да кидает в СШП.

И того я имею: обход цензуры, два гугла (google.ru - отечественный, google.com - американский), возможность легко пускать http трафик нужным путём (СШП, tor), доступ по openvpn с ведройд планшета к этому барахлу (шифруется и жмётся трафик, теперь не стрёмно что где-то в публичной сети заснифают чего-то не того).

САБЖ: теперь, блин, нужно проксю научить обеспечивать хоть каку-то безопасность сёрфинга через tor. Подключиться я могу откуда угодно и совершенно разными браузерами, потому torbutton и т.п. не вариант. Занимется этим privoxy (да, да КО). Уже умеет, резать к чертям куки, жабаскрипт, флешу, правит чутка заголовки.

Нуждаюсь в ваших советах:
1 Что-то надо ещё подрезать?
2 Может вообще все теги <object> и <embed> вырезать?
3 Как блин порезать на странице все внешние элементы (убивать src=«блабла», думаю, не достаточно)? Есть идея сделать скрипт из (указанной выше) бд выдерающий домены разрешённые для tor и далее генерящий на их основе фильтр для privoxy. Если скриптом, то можно ли через веброжу впихивать это в privoxy? (вроде у него какая-то есть)
4 Какие заголовки резать?
5 Слышал что privoxy не умеет gzip. Если правда как бороться?
6 SSL соединения privoxy не декодирует на лету? Как-то ведь надо фильтровать...
7 Собираюсь добавить поддержку i2p, какие-то отличия должны быть в фильтрации трафика для него?
8 Любые полезные замечания.

ЗЫ в случае успеха, могу поделиться наработками с широкой общественностью....

ЗЗЫ Для тех у кого от слов tor и i2p батхёрт. Мне не нужно от кого-то адццки шкериться. Я даже пока не придумал куда именно применить сабж. Просто хочется иметь возможность в случае надобности, не хитрой манипуляцией (запись в мускуле) обеспечить для выбранного адреса выход через анонимную сеть. Ну и что бы при таком раскладе, деанонимизировать меня не было тривиальной задачей. Я не собираюсь качать детское порно, организовывать терракты или «становиться членом группы анонимус» :D Изначально подтолкнуло к этому введение в стране цензуры, а если точнее её реализация. Если в реальной жизни таки и пригодится что-то пустить через анонимную сеть, то это скорее всего это будет альтернативный путь мимо цензуры (вдруг какой-то айпи забанят и СШП, ну или сайт не будет из СШП соединения принимать). Просто раз уж пускать что-то через анонимную сеть, то хочется чтоб резались тривиальные способы деанонимизации, не более. И хочется чтоб не надо было морочиться ради такой мелочи с отдельными браузерами и/или виртуалками. Один раз настроил и по мере надобности пользуй с любой своей железки и с любого браузера, всё.

★★★★★

Последнее исправление: CYB3R (всего исправлений: 4)

Собираюсь добавить поддержку i2p, какие-то отличия должны быть в фильтрации трафика для него?

По-хорошему для него нужен отдельный браузер с впиленным туда прокси (или просто забитым в настройках). Но мне лень пока заморачиваться.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

В том то и дело, что нужна фильтрация со стороны проксей. Отдельный браузер уже морока даже на десктопе, на планшете и подавно. Какие варианты подключения ещё могут понадобиться хз.

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

В браузере есть страничка в i2p. В ней есть контент из не-i2p. Как ты его заблокируешь, если прокси не знает, что из какой страницы запрошено? Он просто получает запрос загрузить файл.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

Читай первый пост, режу скрипты и тп, планирую вырезать подтягивания на страницу внешних элементов (пока только вырезать src придумал). Для этого есть узкое место - privoxy (через него как раз идёт только требующий фильтрации трафик), он умеет на лету модифицировать передаваемое.

erfea ★★★★★
() автор топика

я законопослужный гражданин

А мне кажется, что ты мафия, уж больно шифруешься... Прошу комиссара проверить этого гражданина.

toney ★★★★★
()
Ответ на: комментарий от erfea

Не можешь срать - не мучай жопу.
Если ты хочешь быть анонимным, то под TOR/I2P нужна выделенная виртуалка/контейнер/chroot без доступа к сети.

В противном случае все твои отрубания флеша, жабаскриптов и картинок это не более чем отмаза для самого себя.
И ничего общего это с анонимностью не имеет, т.к ты по сути оставляешь 100500 способов пропалить свой реальный ip.

Поэтому либо делать по уму, либо не трать врем зря.

winddos ★★★
()

1 Что-то надо ещё подрезать?

Параною.

6 SSL соединения privoxy не декодирует на лету? Как-то ведь надо фильтровать...

Учи матчасть.
Если гос-ву надо будет «декодировать SSL», то тебе устроят MiTM с валидным сертификатом.
А при должном количестве денег модно получить валидный сертификат для любого домена ;)

winddos ★★★
()

Ну и да, первый и последний совет от меня лично:
Не придумывай себе правил которые ты не сможешь соблюдать.
И соответственно не устанавливай себе ограничений которые будут мешать тебе работать в сети.

Т.к когда тебе надо будет что то сделать, а у тебя будет заблочен скрипт/флеш/малолично, то ты психанешь и где нибудь облажаешься при очередном включении/выключении одной из твоих параноидальных защит.
А это намного хуже и опастнее, чем вообще не шифроваться.
Нет ничего хуже, чем ложное ощущение безопасности и анонимности.

Поэтому вот тебе три пункта:
1 - Удобство работы.
2 - Дешевизна реализации.
3 - Безопасность и анонимность.
Выбирай любые два.

winddos ★★★
()
Ответ на: комментарий от winddos

сли ты хочешь быть анонимным, то под TOR/I2P нужна выделенная виртуалка/контейнер/chroot без доступа к сети.

У меня параноя видать не такая, зы да и не делаю ничего такого чтоб ТАК ссать спалиться.

В противном случае все твои отрубания флеша, жабаскриптов и картинок это не более чем отмаза для самого себя.
И ничего общего это с анонимностью не имеет, т.к ты по сути оставляешь 100500 способов пропалить свой реальный ip.

Если в браузер не пускать ничего интерактивного и жёстко сечь в html все попытки разползаться в стороны, думаю способов пропалить айпи останется не много (если останется) и они будут ох какими не простыми (чего уже достаточно, говорил же противозаконной деятельностью не занимаюсь).

Поэтому либо делать по уму, либо не трать врем зря.

Я таки буду делать как уже начал, надо просто зашлифовать... О пощи в этом начинании и прошу изначально.

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

У меня параноя видать не такая, зы да и не делаю ничего такого чтоб ТАК ссать спалиться.

Вопрос в том, что такой подход исключает утечку информации и оставляешь лишь пару брешей в безопасности.

А отключение скриптов и прочие описанные тобой процедуры это попытка заткнуть все дырке в решете.
Ты конечно потратишь на это недельку и скажешь себе «я молодец», но к сожалению это не даст тебе и 0.1% от надежности котую даст тебе виртуалка или правильно настроенный чрут.

Вот и выбирай, хочешь ты надежности или просто настроить ради настройки.

winddos ★★★
()
Ответ на: комментарий от winddos

Учи матчасть.
Если гос-ву надо будет «декодировать SSL», то тебе устроят MiTM с валидным сертификатом.
А при должном количестве денег модно получить валидный сертификат для любого домена ;)

Америку открыл...

Ну и да, первый и последний совет от меня лично:
Не придумывай себе правил которые ты не сможешь соблюдать.
И соответственно не устанавливай себе ограничений которые будут мешать тебе работать в сети.

Что же мне будет мешать?

Поэтому вот тебе три пункта:
1 - Удобство работы.
2 - Дешевизна реализации.
3 - Безопасность и анонимность.
Выбирай любые два.

выбрал уже... удобство работы, безопасность и анонимность (относительная) для отдельно указанных в мускуле сайтов.

ЗЫ сабж таки делается для серфинга, хочется лишь обеспечивать анонимность для некоторых сайтов, усложнив деанонимизацию для них.

erfea ★★★★★
() автор топика
Ответ на: комментарий от winddos

Ты конечно потратишь на это недельку и скажешь себе «я молодец», но к сожалению это не даст тебе и 0.1% от надежности котую даст тебе виртуалка или правильно настроенный чрут.

Я и так нахожу довольно паранойдальным задуманное, мне не нужно прятаться от государства и етц, мне бы просто хочется усложнить при сёрфинге отдельных сайтов деанонимизацию с о строны этих сайтов. Пойми уже задачу правильно, может действительно сможешь дать полезный совет )))

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

ЗЫ сабж таки делается для серфинга, хочется лишь обеспечивать анонимность для некоторых сайтов, усложнив деанонимизацию для них.

Для некоторых сайтов можно выделить хотя бы отдельный браузер с отдельным пользователем, ну и apparmor/selinux по вкусу.
Не надо миксовать обычный прокси (с выходом в интернет) и TOR.

Это архитектурно не грамотное решение.
Т.е ты сначала создаешь РЕШЕТО, а потом спрашиваешь как его заделать :3

winddos ★★★
()
Ответ на: комментарий от toney

А мне кажется, что ты мафия, уж больно шифруешься... Прошу комиссара проверить этого гражданина.

В приёмную Путина напиши :D

erfea ★★★★★
() автор топика
Ответ на: комментарий от winddos

Читай первый пост, я хочу пользоваться данными благами откуда угодно, просто поключаясь через vpn к своей проксе. А это не очень то сочетается с «выделить хотя бы отдельный браузер с отдельным пользователем, ну и apparmor/selinux по вкусу». Я понимаю что изрядно уступает изначально более надёжным решениям. Но во первых, я не прячусь от кого-то могущественного... Во вторых по дефолту (99.99% трафика) вообще собираюсь пускать напрямую. Давай уже закончим обсуждать минусы моего решения, я их и так прекрасно вижу...

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

Пойми уже задачу правильно, может действительно сможешь дать полезный совет )))

Совет такой: отдели мух от котлет изначально и не парься о том, что где то что то утечет.

Для сайтов где нужна анонимность - отдельный прокси и отдельный браузер откуда просто не может утечь информация о реальном ip.
Нужно чтобы у браузера «реального» инета вообще не было, вот и все.

Настроить для браузера AppArmor это дело 10 минут, зато почти гарантирует, что ничего лишнего о твоей системе он знать не будет.
При этом скрипты и все удобства (и даже флеш) можно включить.

winddos ★★★
()
Ответ на: комментарий от erfea

Читай первый пост, я хочу пользоваться данными благами откуда угодно, просто поключаясь через vpn к своей проксе.

А ты сделай 2 прокси, всего то делов. :)

Если ты хочешь соединяться с ней с кучи машин итп, то забей ты на скрипты и остальное: все равно не поможет если кому то на ресурсе будет надо :)

winddos ★★★
()
Ответ на: комментарий от winddos

Совет такой: отдели мух от котлет изначально и не парься о том, что где то что то утечет.

Я говорю, не особо то и парюсь, просто реализую необходимый минимум, чтоб выудить со стороны куда идут запросы было слишком просто.

Для сайтов где нужна анонимность - отдельный прокси и отдельный браузер откуда просто не может утечь информация о реальном ip.

Нужно чтобы у браузера «реального» инета вообще не было, вот и все.

От кого же мне так прятаться?

Настроить для браузера AppArmor это дело 10 минут, зато почти гарантирует, что ничего лишнего о твоей системе он знать не будет.

ЕМНИП AppArmor контролирует доступ приложения к ресурсам ОС, за то куда полезет браузер в инетах и что он там будет делать сабж не отвечает. Это отдельная песня.

При этом скрипты и все удобства (и даже флеш) можно включить.

Плевать на эти «блага».

А ты сделай 2 прокси, всего то делов. :)

Ага и на любом девайсе и браузере с которого захочу юзать сабж, менять настройки постоянно?! Нет, спасибо.

Если ты хочешь соединяться с ней с кучи машин итп, то забей ты на скрипты и остальное: все равно не поможет если кому то на ресурсе будет надо :)

Если прокся будет резать попытки пропихнуть всякий интерактив и расползаться куда попало, задача становится не тривиальной, да шансы высоки что деанонимизируют, но ТАК морочиться из-за меня ни у кого нету повода ))).

ЗЫ я понимаю что слова tor и i2p вызывают у многих батхёрт, но давай таки по САБЖУ. Мне не надо от кого-то прятаться, хочу просто анонимный доступ, не позволяющий раскрыть меня меня тривиальным способом.

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

ЕМНИП AppArmor контролирует доступ приложения к ресурсам ОС, за то куда полезет браузер в инетах и что он там будет делать сабж не отвечает. Это отдельная песня.

1 - Ты не поверишь, но AppArmor позволяет например запретить UDP, вообще, чтобы например dns запросы не прошли не через проксю (которая конечно tcp).
Ну и вообще сеть можно отключить таким же образом.
2 - AppArmor не позволит «браузеру» залезть в /etc/resolv.conf /etc/passwd и.т.п.
В принципе все равно остаются некие способы вытаскивания информации из procfs, но тут надо уметь.
3 - Не позволит браузеру запустить какой то сторонний бинарник если ты не разрешишь, ну ifconfig там позырить.
4 - И что самое главное, apparmor запишет в лог подозрительную активность, а через aa-notify её можно будет вывести прямо тебе на рабочий стол алертом.

ЗЫ я понимаю что слова tor и i2p вызывают у многих батхёрт, но давай таки по САБЖУ. Мне не надо от кого-то прятаться, хочу просто анонимный доступ, не позволяющий раскрыть меня меня тривиальным способом.

Пили что пилишь и будь что будет.
Если у тебя подход изначально корявый, то давать глупые советы нет смысла.

winddos ★★★
()
Ответ на: комментарий от winddos

1 - Ты не поверишь, но AppArmor позволяет например запретить UDP, вообще, чтобы например dns запросы не прошли не через проксю (которая конечно tcp).

Ну и вообще сеть можно отключить таким же образом.

2 - AppArmor не позволит «браузеру» залезть в /etc/resolv.conf /etc/passwd и.т.п.

В принципе все равно остаются некие способы вытаскивания информации из procfs, но тут надо уметь.

3 - Не позволит браузеру запустить какой то сторонний бинарник если ты не разрешишь, ну ifconfig там позырить.
4 - И что самое главное, apparmor запишет в лог подозрительную активность, а через aa-notify её можно будет вывести прямо тебе на рабочий стол алертом.

И по большей части это слабо пересекается с сабжем и никак с поставленой мной задачей.

Пили что пилишь и будь что будет.
Если у тебя подход изначально корявый, то давать глупые советы нет смысла.

И буду пилить. Проблема не в том что я не правильно делаю, а что ты задачу не так понял. ЗЫ если мне будет нужна настоящая суперпаранойдальная анонимность, мне ни что не мешает к текущей реализации добавить виртуальную машину или отдельный браузер хоть с AppArmor, хоть с чем (и пустить прямиком хоть в tor, хоть в i2p). Задачу я себе поставил совершенно другую, мне нужен вот такой простой вариант, не привязанный ни к отельным виртуалкам ни к каким-то отдельным браузерам. Хочется обезапосить от ТРИВИАЛЬНЫХ способов деанонимизации. Будет нужна аццкая анонимность буду смотреть на другие пути. Ковырять дырочку в бетоной стене под болтик отбойным молотком я не намерен. Будут идеи по сабжу, послушаю и буду благодарен. ЗЫ походу полезного мне так никто ничего и не скажет, эх... ЗЗЫ если опять не понял прочитай последнюю правку первого поста (в самом его конце)

erfea ★★★★★
() автор топика
Ответ на: комментарий от segfault

Да, штаты - хороший выбор. Оплот интернет-свободы и адекватизма.

Так то оно так... но единственное что мне понадобилось на текущий момент обойти оно обошло (knotes.ru), да и выдача американского гугла куда как интереснее по ряду технических запросов. Да и вон жене тоже американский гугл понравился ))) Ну и собственно альтернатива в виде tor + i2p пилится же.

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

По защите от тривиальной деанонимизации (например сверка запросов на разные серваки идентифицируя тебя по супер-кукису, юзерагенту и меткам http):
1 - Тебе вообще не нужен i2p, т.к он не предназначен для использования как прокси.
Он нужен исключительно для доступа к находящимся внутри сети ресурсам, а внешняя прокся имеет один айпи и везде забанена где можно, даже на ЛОРе.
2 - Если запросы на определенный домен пускаешь через тор, т.е прокся общая для всех целей, то тебе надо с выкачиваемого через TOR html удалять вообще все внешние элементы.
Т.е все что может идти не через тор надо удалять.
3 - Ресурсы с SSL шифрованием через TOR смотреть тебе нельзя, т.к ты не сможешь на своем VPS сервере поправить деанонимизирующий внеший контент.
Либо надо мутить хитрую схему и самому себе устраивать MiTM, но это геморой ненужный.
3 - [если ты это ещё не сделал] Вместо прописывания прокси тебе достаточно будет просто VPN, сделай прозрачное проксирование HTTP портов.

Усё.

winddos ★★★
()
Ответ на: комментарий от winddos

1 - Тебе вообще не нужен i2p, т.к он не предназначен для использования как прокси.
Он нужен исключительно для доступа к находящимся внутри сети ресурсам, а внешняя прокся имеет один айпи и везде забанена где можно, даже на ЛОРе.

Кстати есть желание бегло осмотреть какие там ресурсы (может и подниму для него виртуалку с нормальной анонимизацией), в .orion я ничего интересного не нашёл. ЗЫ спасибо, что-то новое наконец узнал.

2 - Если запросы на определенный домен пускаешь через тор, т.е прокся общая для всех целей, то тебе надо с выкачиваемого через TOR html удалять вообще все внешние элементы.
Т.е все что может идти не через тор надо удалять.

В первом посте я и просил поконкретнее, сам пока сообразил только теги <object> и <embed> вырезать и убивать src=«блабла». Ну и ещё надо придумать как брать из бд инфу (генерить фильтры) и грузить в privoxy. Интересует чужой опыт, у него вроде веброжа есть, умеет ли она принимать фильтры, или только правила, сразу ли применяются изменения?

3 - Ресурсы с SSL шифрованием через TOR смотреть тебе нельзя, т.к ты не сможешь на своем VPS сервере поправить деанонимизирующий внеший контент.
Либо надо мутить хитрую схему и самому себе устраивать MiTM, но это геморой ненужный.

Вот тоже склоняюсь отрезать ибо так проще...

Вместо прописывания прокси тебе достаточно будет просто VPN, сделай прозрачное проксирование HTTP портов.

Это можно, делов то... но сначала надо всё организовать.

erfea ★★★★★
() автор топика
Ответ на: комментарий от winddos

ЗЫ VDS и деанонимизация не взаимосвязаны никак, он просто для прохода с америкаским айпи.

схема сейчас такая:

SQUID
 |   (default)
 |-->интернеты
 |
 |   (обнаружена блокировка провайдером
 |     или явно указанно в бд)
 |-->VDS-->интернеты
 |
 |   (явно указанно в бд)
 |--privoxy-->tor

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

В первом посте я и просил поконкретнее, сам пока сообразил только теги <object> и <embed> вырезать и убивать src=«блабла».

Вообще если ты собираешься юзать обычный браузер или скажем браузер на девайсах, то он будет передавать в HTTP запросе Referer.

Допустим ты открываешь страницу http://vutinpor.org/ через TOR.
На ней есть скажем 2 картинки (стиля,скрипта,итп) находящиеся на images.vutinpor.org и ещё одна на deanon.fsb.ru.
Так вот, в каждом из этих 3 HTTP запросов будет указан реффер http://vutinpor.org/.

Далее тебе надо сделать что:
1 - Проверять каждый запрос на наличие реффера.
2 - доставать из реффера основной домен (а не поддомен) сайта.
3 - Если домен из реффера есть в твоей базе, то это значит этот запрос идет со странички которая была получена через TOR.
4 - Далее ты проверяешь куда именно направлен запрос (e.g http://images.vutinpor.org/1.jpg) и высняешь не является ли он запросом на поддомен (который должен пойти через TOR) или на тот же домен (если запрос идет на http://vutinpor.org/images/1.jpg с реффером http://vutinpor.org/).
Если запрос идет на «безопасный» домен (т.е домен откуда грузится контент тоже идет через TOR), то ты его пропускаешь.
А вот запрос на deanon.fsb.ru ты отметаешь, т.к он идет напрямую и с реффером «анонимного» ресурса.

Я конечно сумбурно описал, но думаю ты сможешь разобраться.
В конце концов проверять пойдет ли запрос через TOR (и пришел ли он со странички из TOR) правильнее чем резать вообще всю графику, css и файлы.
Хотя можешь тупо резать и это будет надежнее.

PS:
Насколько я помню (может уже и нельзя) используя JS можно получить контент не передавая реффер, но скрипты ты наверняка и так резать хочешь.
Может кто ещё уточнит.

winddos ★★★
()
Ответ на: комментарий от winddos

По настройке проксей ничего не подскажу, т.к мне проще админу это поручить чем самому разбираться в 100500 опциях сквида.

winddos ★★★
()
Ответ на: комментарий от winddos

Вообще если ты собираешься юзать обычный браузер или скажем браузер на девайсах, то он будет передавать в HTTP запросе Referer.

Режу его к чертям собачьим ))) А так же юзерагент меняю «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461)».

Допустим ты открываешь страницу...
....
Я конечно сумбурно описал, но думаю ты сможешь разобраться.

Собственно у privoxy по-моему нету таких умных возможностей, как обрезать что-то иcходя из заголовков. У него фильтрация основана на регулярных выражениях («s|что ищем|что делаем|флаги» - типичный фильтр). Вот и нужно получается резать упоминания src=«блабла» в тегах (и только ли его, каие ещё могут быть нехорошие атрибуты?), если блабла нету в бд. Т.е. надо чтоб фильтры ещё скрипт генерил.

В конце концов проверять пойдет ли запрос через TOR (и пришел ли он со странички из TOR) правильнее чем резать вообще всю графику, css и файлы.

этого я делать и не собирался

Насколько я помню (может уже и нельзя) используя JS можно получить контент не передавая реффер, но скрипты ты наверняка и так резать хочешь.

Всё, что может исполняться нафиг...

erfea ★★★★★
() автор топика
Ответ на: комментарий от winddos

По настройке проксей ничего не подскажу, т.к мне проще админу это поручить чем самому разбираться в 100500 опциях сквида.

Сквида настроена уже давно...

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

Режу его к чертям собачьим ))) А так же юзерагент меняю «Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Q312461)».

Это не всегда хорошо, особенно если ты юзерагент меняешь на один определенный.

На стороне сервера будет легко отслеживать с каких выходных нод ТОРа ты на нем был :)
Юзерагент наоборот должен быть как можно более похож на настоящий и должен быть уникальным.

каие ещё могут быть нехорошие атрибуты?

фреймы надо резать вообще, но по сути я бы посоветовал тебе руками пройтись по списку всех тегов в html4/5 и вообще порезать все, что имеет какие либо шансы потянуть левый контент.

этого я делать и не собирался

Если никак не палить рефферы, то лучше резать вообще любой контент кроме самих html страниц.

winddos ★★★
()
Ответ на: комментарий от erfea

Я к тому, что понимаю как нужная тебе фильтрация должна работать, но о реализации на проксях хз.

winddos ★★★
()

пост неуловимого джо)

JFreeM ★★★☆
()

И так, осмотрел ещё раз нагороженное барахло. Решил выкинуть из схемы privoxy. Заменой будет eCAP плагин для сквиды (документации на libecap, конечно, нету, примеры УГ, но ничего не впервой ковырять такое). У него куда как больше возможностей реализовать нужные алгоритмы, да и централизовано рулить куда как лучше.

Отдельное спасибо winddos, единственный кто писал по сабжу.

ЗЫ список для того, что планирую фильтровать в html

Теги:
<object>
<applet>
<script>
<embed>
Атрибуты:
src			подчистую
formaction		в тегах: <input> <button>
cite			в тегах: <del> <ins>
action			в тегах: <form> <isindex>
manifest		в тегах: <html>
longdesc		в тегах: <img>
href			в тегах: <link> <area>
poster			в тегах: <video>
Реализацию пока отложу не на долго (надо же ещё и работу делать). Тред отмечаю решёным, но буду рад если кто-то добавит ещё полезной инфы.

erfea ★★★★★
() автор топика
Ответ на: комментарий от erfea

ЗЫ список для того, что планирую фильтровать в html

Боже мой, как все сложно. Поднять xen, если не нужна анонимность - при загрузке выбираешь ядро без него. Нужна анонимность - вибираем ядро с xen, он поднимает гостевую (шаблон должен быть уже настроен с тором и прочими причиндалами) - она разворачивается по сети из того-же dom0, на чистый раздел под нее.

При шатдауне/рестарте - раздел забивается рандомно скриптами. Все. Чистая техника. И нечего вычислять - что там фильтровать в html, что и где хранит браузер в кеше, кукисы, какие где проксики оставляют логи, временные файлы и прочее.

Чистая техника. Один раз настроил, сохранил как шаблон, далее каждый раз все новое как с иголочки. Можно в гостевую даже видюху пробросить - то-же видео/флеш нормально кажет.

xnt
()

ТС! Обрати внимание на то, что ты пытаешься одновременно решить несколько не связанных между собой проблем. Проранжируй их важность для себя.

Если ты беспокоишься о цензуре, блокировании айпи и выходе в сеть с _разных_ устройств, тогда возможно, тебе придется подумать над тем, как превратить этот гребанный веб-два-ноль со свистелками и хитрыми закладками от кровавой гэбни в безопасный plain-text. Вероятный вариант - веб-прокси а-ля anonymouse.org на твоем роутере ходящий в сеть через тор.

Никто же не запретит открыть у себя на роутере ХХХ сервисов для решения разных задач?

rapid
()
1 апреля 2014 г.
Ответ на: комментарий от Deathstalker

кто вас некропостеров понарожал?

erfea ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.