а Tor тут при чём?

Через скомпрометированный браузер стало возможным заставить систему сделать запрос к веб-странице вне сети Tor

чей браузер, владельца сабжа?

По-хорошему должна быть виртуалка, весь трафик которой заворачивается в анонимную сеть и браузер пользуется исключительно в ней.

offtop

У всех скрытач не работает или только у меня?

Ну так это ж дырявый файерфокс, чего вы ожидали? И энто, кто-то из пользователей тора использует js? Они наркоманы?

нарушаешь закон - готовься понести наказание

Компетентными органами любая попытка защиты личной информации, или анонимизации воспринимается в большинстве случаев как признак нарушителя закона.

Я так понял, браузер одного или нескольких пользователей сабжем.

отговорки сипишников

Ну и наплевать, I2P педалит.

Вроде бы разработчики tor-ff-plugin рекомендуют использовать его вместе с плагином privoxy, как раз чтобы такой фигни не было. Любишь качать центральные процессоры — люби и документацию читать.

Через скомпрометированный браузер стало возможным заставить систему сделать запрос к веб-странице вне сети Tor, что и позволило узнать настоящий IP-адрес Freedom Housing. Он являлся крупнейшим и наиболее известным скрытым сервисом

а зачем администратор сервера смотрел порнуху через браузер на этом сервере?

Вот так, легко и непринужденно :)

ага. Вот только закрыть сервера всё равно не получается, ибо

The servers themselves are likely run on a «bulletproof» hosting service in Romania or Russia; Irish law enforcement authorities told the court Friday that Marques had transferred large sums of money to accounts in Romania and had been investigating obtaining a visa to enter Russia. Marques, for his part, claimed that he was helping out friends in Romania, including an ex-girlfriend, by sending them money, and that his visa inquiries were out of curiosity over the plight of NSA whistleblower Edward Snowden.

Ну а найти козла отпущения, и публично его оза*упить всегда можно. Тут да, никакой tor не поможет.

Сам то готов? Людей, не нарушающих закон, с юридической точки зрения, почти не осталось.

а ты больше жёлтую прессу читай. Особенно в русском кастрированном переводе. Ещё и не такой бред выяснишь.

Что то я не совсем понял насчет JS... Он же в тор бандле выключен бу дефаулт и еще noscript есть. Или кто то включает?

Сам то готов?

я не смотрю и не хощу цп

ты забыл написать, что использовалась древняя и дырявая версия лисы, так что ссзб

кто-то из пользователей тора использует js? Они наркоманы?

Наркоман ты. Ты это, лучше вообще к интернету не подключайся, провайдеры трояны через уязвимость в протоколе HTTP на Линукс ставят и видео с твоего рабочего стола себе собирают и записывают, ага.

А почему страница вообще ответила вне сети тор? Можно подробнее про то, что конкретно произошло, в деталях

а музончик, фильмы и книги без отчислений мигалкову употребляешь?

фильмы пирачу, и понимаю что это наказуемо.

используя уязвимость JavaScript

Расходимся

xtraeft> я не смотрю и не хощу цп

Если под тебя поглубже копнуть, то обнаружится, что ты по другим частям законодательства очень даже можешь оказаться преступником.

Что то я не совсем понял насчет JS...

Современный интернет без JS убог.

В торе давно бывал? Большинство внутренних ресурсов (а речь шла именно про них) не используют JS, и сами авторы рекомендуют отключать жабу/флеш/скрипт насколько я помню. Шум был поднят насколько я понимаю после того как скрипт коннектился напрямую в обход тора и сливал любителя цп/торчка органам. Но для подобных ресурсов js ненужен же.

В торе давно бывал?

Давно, мне не интересна анонимность за счет безопасности.

Большинство внутренних ресурсов (а речь шла именно про них) не используют JS, и сами авторы рекомендуют отключать жабу/флеш/скрипт насколько я помню.

Да наздоровье. Но «вычислили и поймали» как раз при помощи JS http://pastebin.mozilla.org/2777139 это голый факт.

Вот я и пытаюсь понять как именно поймали. У большинства носкрипт есть и жаба выключена. Вот и интересно этот скрипт как то в обход всего работает или пользователи дятлы и сами виноваты? З.Ы. Анонимность за счет безопасности? это как?

> используя уязвимость JavaScript в пакете Tor Browser Bundle, разработанном на основе браузера Firefox

Я же говорил, что Firefox жрёт много ресурсов, дык он еще и полностью дырявый.

tor тут не при чём.

Анонимность за счет безопасности? это как?

А разве не очевидно ? Tor не обеспечивает безопасность, он обеспечивает анонимность. Многие не понимают разницы и не заботятся о своей безопасности дополнительно.

Через скомпрометированный браузер стало возможным заставить систему сделать запрос к веб-странице вне сети Tor

Боянистый концепт атаки. Настоящие криптопанки это предусмотрели.

Печально, что лисе альтернатив нет

а Tor тут при чём?

ты не пользуешься тором или притворяешься?

Здесь можно играть про себя на трубе,
Но как не играй, все играешь отбой.
И если есть те, кто приходят к тебе,
Найдутся и те, кто придет за тобой.
Также скованные одной цепью,
...

http://pleer.com/search?q=скованные+одной+цепью

уязвимость-то не в самом торе была, а так он долгое время позволял данному сервису быть скрытым

не вижу твоего пароля! или может ты тайно по ночам дрочишь на сипи?!

каким боком тут пароль?

Нефиг использовать дырявые технологии. Торгуете веществами - отключайте вообще всё кроме чистого рендера HTML.

А у меня нет паранойи и школо-торами и айтупи я не пользуюсь, а если и соблюдать рекомендации по использованию, то надо отключать как флэш, так и скрипты.

Вот что вы все пристали к JS? Это же ограниченный рантайм-язык, он вообще не предусматривает без специальных расширений (привет, ActiveX и NodeJS) выполнения того, что интерпретатор и окружение не предусматривают. Что касается уязвимостей, то они могут быть и в CSS, и вообще где угодно, JS тут ничем страшным не выделяется. Это какой-то трудновыпиливаемый бульварный миф, который тянется ещё с тех времён, когда домохозяйки путали JS и Java (апплеты тогда ещё были весьма популярны по причине убогости JS-движков и незаточенности Flash под что-либо помимо работы с мультимедиа).

Вот что вы все пристали к JS?

man XSS

По-хорошему должна быть виртуалка, весь трафик которой заворачивается в анонимную сеть и браузер пользуется исключительно в ней.

Учитывая цели, под которые использовалось - я лично даже рад, что его поймали. Не тот формат форума, чтобы я описал то, что хочу сделать с цпшниками.

А мона поинтересоваццо, если на картинке мальчик 16 лет любит девочку 16 лет - это цп? Девочка половозрелая? 15/15? 17/17? 14/14? 20/16?

Альтернатив, чтобы так тормозило, нет.

Но есть нормальные другие браузеры.

man XSS

XSS в применение к пользовательским машинам - всего лишь игра на доверии хомячков. Без на*ба сделать с помощью них ничего нельзя, опять-таки, из-за ограниченности JS. А на*бать можно тысячами разных способов.

Более корректно рассматривать их в первую очередь со стороны взлома серверного ПО, но тут уже виновата исключительно кривизна написания серверного ПО, сам JS тут ни при чём, он выступает лишь методом.

нормальные другие браузеры

Примеры в студию.

//Чур, не металлический огрызок браузера и не норвежского представителя сельскохозяйственной техники.

Ну, а будь жс отключённым при использование тора, то никакой атаки бы не случилось, андестенд? Люди использует специальный браузер чтобы фапать на цп и при этом не могут отключить скрипты? Ну офигеть просто.

Дыра в Firefox, при чём тут JS? Это всё равно что не выходить из дома, чтобы не подцепить вшей. Ведь можно просто остерегаться вшивых, а вшивые могут сами в дом вломиться.

Учитывая цели, под которые использовалось - я лично даже рад, что его поймали.

Это примерно как если-бы я учёл цели, для которых используется борьба с педофилами, и обрадовался гибели под КАМАЗом настоящего следователя по расследованию подобных преступлений.

JavaScript exploit

Отключён жс - нет проблем.

И лиса дырявая, как люди этой парашей пользуются? Она же реально всегда в топах по дырявости.

Пилимость - цена дырявости. Так почти везде.

А какие? Не шутки ради, сам ищу. Но хром - анальный, как и опера. А что еще хорошее есть?