كشف الفيسبوك اليوم خدمته الخفية التي تتيح للمستخدمين الوصول إلى موقع الويب الخاص بك بعناية أكبر. لقد طلب منا المستخدمون والصحفيون إجاباتنا ؛ إليك بعض النقاط لمساعدتك على فهم رأينا.
الجزء الأول: نعم ، زيارة Facebook على Tor لا تعد تناقضًا
لم أكن أدرك أنني يجب أن أدرج هذا القسم ، حتى اليوم سمعت من صحفي كان يأمل في الحصول على اقتباس مني حول سبب عدم استخدام مستخدمي Tor لموقع Facebook. إذا تركنا جانباً الأسئلة (التي لا تزال مهمة للغاية) حول عادات الخصوصية في Facebook ، وسياسات الأسماء الحقيقية الضارة ، وما إذا كان ينبغي عليهم إخبارك بأي شيء عنك أم لا ، المفتاح هنا هو ذلك عدم الكشف عن هويته لا يقتصر فقط على الاختباء من وجهاتك.
لا يوجد سبب لإعلام مزود خدمة الإنترنت الخاص بك بوقت أو ما إذا كانوا يزورون Facebook. لا يوجد سبب يدعو مزود خدمة الإنترنت في Facebook ، أو أي وكالة تراقب الإنترنت ، إلى معرفة متى أو إذا كانوا يزورون Facebook. وإذا اخترت إخبار Facebook بشيء عنك ، فلا يزال هناك سبب للسماح لهم باكتشاف المدينة التي تتواجد فيها تلقائيًا أثناء القيام بذلك.
أيضًا ، يجب أن نتذكر أن هناك بعض الأماكن التي لا يمكن الوصول إلى Facebook. منذ فترة تحدثت إلى شخص من الأمن على Facebook أخبرني قصة مضحكة. عندما التقى تور لأول مرة ، كره ذلك وخافه لأنه كان ينوي "بوضوح" تقويض نموذج أعماله في تعلم كل شيء عن مستخدميه. ثم فجأة قامت إيران بحظر Facebook ، وتحول جزء كبير من السكان الفارسيين على Facebook إلى الوصول إلى Facebook عبر Tor ، وأصبح من محبي Tor لأنه لولا ذلك كان من الممكن اختراق هؤلاء المستخدمين. اتبعت دول أخرى مثل الصين نمطًا مشابهًا بعد ذلك. هذا التحول في ذهنه بين "Tor كأداة خصوصية للسماح للمستخدمين بالتحكم في بياناتهم الخاصة" و "Tor كأداة اتصالات لمنح المستخدمين حرية اختيار المواقع التي يريدون زيارتها" هو مثال رائع على تنوع استخدامات Torمهما كان رأيك في الغرض من Tor ، فأنا أضمن أن هناك شخصًا يستخدمه لشيء لم تفكر فيه.
الجزء الثاني: يسعدنا أن نرى اعتمادًا أوسع للخدمات المخفية
أعتقد أنه من الرائع أن يضيف Facebook عنوان .onion. هناك بعض حالات الاستخدام المقنعة للخدمات المخفية: على سبيل المثال تلك الموضحة في «استخدام خدمات تور الخفية للأبد«، بالإضافة إلى أدوات الدردشة اللامركزية القادمة مثل Ricochet حيث يكون كل مستخدم خدمة مخفية ، لذلك لا توجد نقطة مركزية للتجسس لحفظ البيانات. لكننا لم ننشر هذه الأمثلة كثيرًا ، لا سيما بالمقارنة مع الدعاية التي نشرتها أمثلة "لدي موقع ويب تريد الحكومة إغلاقه" في السنوات الأخيرة.
الخدمات المخفية أنها توفر مجموعة متنوعة من خصائص الأمان المفيدة. الأول - والأكثر تفكيرًا - لأن التصميم يستخدم دوائر Tor، من الصعب اكتشاف موقع الخدمة في العالم. لكن الثاني ، لأن عنوان الخدمة هو تجزئة مفتاحك، فهي ذاتية المصادقة: إذا قاموا بكتابة عنوان .onion معين ، يضمن عميل Tor الخاص بك أنه يتحدث بالفعل إلى الخدمة التي تعرف المفتاح الخاص الذي يتوافق مع العنوان. الميزة الثالثة الرائعة هي أن عملية الالتقاء توفر تشفيرًا من طرف إلى طرف ، حتى عندما تكون حركة المرور على مستوى التطبيق غير مشفرة.
لذلك أنا متحمس لأن خطوة Facebook هذه ستساعد في الاستمرار في فتح عقول الناس حول سبب رغبتهم في تقديم خدمة مخفية ، ومساعدة الآخرين على التفكير في المزيد من الاستخدامات الجديدة للخدمات المخفية.
من الدلالات الجيدة الأخرى هنا أن Facebook ملتزم بأخذ مستخدمي Tor على محمل الجد. يستخدم مئات الآلاف من الأشخاص Facebook على Tor بنجاح منذ سنوات ، ولكن في عصر الخدمات مثل Wikipedia الذين يختارون عدم قبول مساهمات المستخدمين المهتمين بالخصوصيةإنه أمر منعش ومشجع أن ترى موقعًا كبيرًا يقرر أنه من الجيد أن يرغب مستخدموه في مزيد من الأمان المادي.
كإضافة لهذا التفاؤل ، سيكون من المحزن إذا أضاف Facebook خدمة مخفية ، وواجه مشكلة مع المتصيدون ، وقرروا منع مستخدمي Tor من استخدام عنوانهم القديم. https://www.facebook.com/. لذلك يجب أن نكون يقظين في مساعدة Facebook على الاستمرار في السماح لمستخدمي Tor بالوصول إليها من خلال أي عنوان.
الجزء الثالث: عنوانك غير المجدي لا يعني أن العالم قد انتهى
اسم خدمتك المخفية هو "facebookcorewwwi.onion". لكونه تجزئة مفتاح عمومي ، فمن المؤكد أنه لا يبدو عشوائيًا. كان كثير من الناس يسألون كيف يمكنهم أن يفعلوا القوة الغاشمة فوق الاسم بالكامل.
الإجابة المختصرة هي أنه في النصف الأول ("facebook") ، والذي يتكون من 40 بتًا فقط ، قاموا بإنشاء مفاتيح مرارًا وتكرارًا حتى حصلوا على بعض التي تطابق أول 40 بت من التجزئة مع السلسلة التي يريدونها.
ثم كان لديهم بعض المفاتيح التي تبدأ أسماؤها بـ "facebook" ، ونظروا إلى النصف الثاني من كل منها لاختيار تلك التي تحتوي على مقاطع لفظية واضحة وبالتالي لا تنسى. بدا أن الشخص الذي يحتوي على "corewwwi" هو الأفضل بالنسبة لهم - مما يعني أنه يمكن أن يأتي مع ملف تاريخ حول سبب كونه اسمًا معقولاً يستخدمه Facebook - وذهبوا لها.
للتوضيح ، لن يكونوا قادرين على إنتاج هذا الاسم بالضبط مرة أخرى إذا أرادوا ذلك. يمكنهم إنتاج تجزئات أخرى تبدأ بـ "facebook" وتنتهي بمقاطع لفظية يمكن نطقها ، ولكن هذه ليست قوة غاشمة على اسم الخدمة المخفية بالكامل (كل 80 بت). بالنسبة لأولئك الذين يرغبون في استكشاف الرياضيات بشكل أكبر ، اقرأ عن «هجوم عيد ميلاد«. وبالنسبة لأولئك الذين يرغبون في التعلم (الرجاء المساعدة!) حول التحسينات التي نود إدخالها على الخدمات المخفية ، بما في ذلك كلمات مرور وأسماء أقوى ، راجع «الخدمات الخفية تحتاج المودة"و اقتراح Tor 224.
الجزء الرابع: ما رأيك في شهادة https لعنوان .onion؟
لم يضع Facebook خدمة مخفية فقط. لقد حصلوا أيضًا على شهادة https لخدمتهم المخفية ، وهي موقعة من Digicert حتى تقبلها متصفحاتهم. أنتج هذا القرار بعض مناقشات حماسية في مجتمع CA / Browser ، الذي يقرر أي نوع من الأسماء يمكن أن يكون له شهادات رسمية. هذه المناقشة لا تزال جارية ، لكن هذه هي آرائي المبكرة حول هذا الموضوع.
من أجل: نحن ، مجتمع أمان الإنترنت ، نعلم الناس أن https ضروري وأن http مخيف. لذلك من المنطقي أن يرغب المستخدمون في رؤية السلسلة "https" في المقدمة.
Con: تمنح مصافحة .onion بشكل أساسي كل ذلك مجانًا ، لذلك من خلال تشجيع الأشخاص على الدفع لـ Digicert ، فإننا نعزز نموذج أعمال الاعتماد في حين أنه ربما يتعين علينا الاستمرار في إظهار بديل.
لصالح: يقدم https في الواقع أكثر قليلاً ، في حالة عدم وجود الخدمة (مزرعة خوادم Facebook) في نفس المكان مثل برنامج Tor. تذكر أنه ليس من الضروري أن يكون خادم الويب وعملية Tor على نفس الجهاز ، وفي تكوين معقد مثل Facebook ربما لا ينبغي أن يكونا كذلك. يمكن للمرء أن يجادل بأن هذا الميل الأخير موجود داخل شبكة شركتك ، لذا من يهتم إذا لم يتم تشفيرها ، لكنني أعتقد أن عبارة "تمت إضافة SSL وإزالته هناك" ستنهي هذه الحجة.
السلبيات: إذا حصل موقع ما على شهادة ، فسوف يعزز ذلك للمستخدمين أنه "ضروري" ، ثم يبدأ المستخدمون في سؤال المواقع الأخرى عن سبب عدم امتلاكهم لشهادة. أخشى أن تبدأ الموضة حيث تحتاج إلى دفع أموال Digicert للحصول على خدمة مخفية أو لن يعتقدوا أنها مشبوهة - خاصة وأن الخدمات المخفية التي تقدر عدم الكشف عن هويتها ستواجه صعوبة في الحصول على شهادة.
قد يكون البديل هو إخبار متصفح Tor أن عناوين onion التي تحتوي على https لا تستحق تحذيرًا منبثقًا مخيفًا. يتمثل النهج الأكثر دقة في هذا الاتجاه في الحصول على طريقة لخدمة مخفية لإنشاء شهادة https خاصة بها موقعة بمفتاحها الخاص بالبصل ، وإخبار متصفح Tor بكيفية التحقق منها - وهي أساسًا مرجع مصدق لامركزي لعناوين .onion ، نظرًا لأنها تلقائية- المصدقون. بعد ذلك لن يحتاجوا إلى الخوض في هراء التظاهر لمعرفة ما إذا كان بإمكانهم قراءة رسائل البريد الإلكتروني على المجال ، والترويج بشكل عام لنموذج CA الحالي.
يمكننا أيضًا تخيل نموذج الحيوانات الأليفة أسماء حيث يمكن للمستخدم إخبار متصفح Tor الخاص به أن عنوان .onion هذا "هو" Facebook. أو سيكون الأسلوب الأكثر وضوحًا هو إحضار قائمة بإشارات الخدمة المخفية "المعروفة" إلى متصفح Tor - مثل مرجع CA الخاص بنا ، باستخدام نموذج / etc / hosts القديم. سيثير هذا النهج السؤال السياسي حول المواقع التي يجب أن ندعمها.
لذلك لم أحسم أمري بعد في أي اتجاه أعتقد أن هذه المناقشة يجب أن تتخذه. أنا أتضامن مع "نحن نعلم المستخدمين التحقق من https ، لذلك دعونا لا نربكهم" ، ولكني قلق أيضًا بشأن الموقف الزلق حيث يصبح الحصول على الشهادة خطوة مطلوبة للحصول على خدمة حسنة السمعة. أخبرنا إذا كان لديك أي حجج مقنعة أخرى مؤيدة أو ضد.
الجزء الخامس: ماذا بقي للعمل؟
من حيث التصميم والأمان ، الخدمات الخفية لا تزال بحاجة إلى المودة. لدينا خطط لتصميمات محسنة (انظر اقتراح Tor 224) ولكن ليس لدينا ما يكفي من الأموال أو المطورين لتحقيق ذلك. كنا نتحدث إلى بعض مهندسي Facebook هذا الأسبوع حول موثوقية الخدمة المخفية وقابليتها للتوسع ، ونحن متحمسون لأن Facebook يفكر في بذل جهود التطوير للمساعدة في تحسين الخدمات المخفية.
وأخيرًا ، بالحديث عن تعليم الأشخاص ميزات أمان مواقع .onion ، أتساءل عما إذا لم تعد "الخدمات المخفية" هي أفضل عبارة هنا بعد الآن. أطلقنا عليها في الأصل اسم "خدمات الموقع المخفية" ، والتي تم اختصارها بسرعة إلى مجرد "خدمات مخفية". لكن حماية موقع الخدمة ليست سوى واحدة من ميزات الأمان المتوفرة لديهم. ربما ينبغي أن يكون لدينا مسابقة لسحب اسم جديد لتلك الخدمات المحمية؟ حتى شيء مثل "خدمات البصل" يمكن أن يكون أفضل إذا أجبر الناس على معرفة ما هم عليه.
تهانينا على مقال رائع خاصة لأولئك منا الموجودين في عوالم yupi في هذا الإنترنت
إنه بسيط للغاية. إذا قمت بتسجيل الدخول بحساب gmail أو facebook أو أي من الشركات التي ذكرها Snowden ، فستفقد هويتك.
إنه مثل شخص يستخدم TAIS ويسجل الدخول إلى gmail ويتظاهر بأنه مجهول الهوية ، الشيء الوحيد الذي سيفعله هو إثارة الشكوك والإشارة إلى اسم المستخدم الخاص به.
مثل القراءة ليست شيئًا لك ، هاه؟
يتحدث الجميع تقريبًا عن Tor ولكني لم أر i2p مذكورًا هنا ، إذا كنت تفضل إبداء رأيك في ذلك.
... أو هو فخ جميل لمعرفة أي مستخدم Tor يتصل بـ Facebook أولاً وبخدمة أخرى خاصة أو آمنة لاحقًا ، من أجل التحقق من البيانات وتحديدها.
أنا على Facebook أو في الصورة ، شكرًا لك. لقد مر. أفضل الشتات ملايين المرات. لا توجد رقابة.
ولكن هل هي ساذجة ، فكل من TOR و Facebook يتم تمويلهما من قبل نفس الأشخاص ، أم أنهم يعتقدون أن TOR تستثمر من أجل إخفاء هوية الساذجين الذين لا يدركون مكان العمل.
هم وجه العملة نفسها ... يريدون الأمن؟ حسنًا ، هذا ليس المكان الذي تذهب إليه الطلقات.
سيتم توفير الأمان من خلال ملف تعريف مزيف ، ملف تعريف مدروس وموثوق تمامًا ، ولكنه خاطئ ويستخدم دائمًا نفس الملف ، هو أسوأ شيء يمكن أن يحدث لـ NSA أو أي شخص آخر ، إذا اخترعت ملفًا شخصيًا وكانوا يعتقدون ذلك .
سأقول فقط إنني لا أعتقد أنك فهمت تور جيدًا.
سأقول فقط أنه في أي نظام يحتاج إلى خادم وسيط ، من الممكن الشراء بالدولار من مالكي ذلك الخادم.
أفضل طريقة هي منحهم ما يريدون دون إخفاء أي شيء ، ولكن إعطائهم ملف تعريف مزيف وهم يعتقدون ذلك.
الشيء الوحيد الذي يقلق Facebook هو فقدان العملاء بسبب الرقابة من بعض البلدان ، وهناك أيضًا بدائل أفضل مثل torbook والشتات وما إلى ذلك.
وماذا عن هذا هنا
http://www.opennicproject.org/
مثير للاهتمام ، لأنه يتناسب بسهولة مع فلسفة حركة Freenet.
لقد كنت أستخدمه لفترة طويلة. جيد. لا يعرف مزود خدمة الإنترنت صفحات الويب التي تراها. لا يحفظ مالكو هذه الخوادم سجلاتهم ، لذا فهم لا يعرفون أيضًا. إنه يجعلك قريبًا جدًا من الخصوصية المطلوبة.
لم يعد يعمل؟
بالنسبة لي ، لا يزال من السخف استخدام TOR للاتصال بالفيسبوك ، ... ما الذي تم حظره في بلدك؟ هذا هو الغرض من الوكلاء. Tor هي شبكة لإخفاء الهوية وليس لنشر أشياء باسمك ، والشيء الوحيد الذي ستحققه هو أن متتبعات facebook تتعقب جميع مواقع .onion التي تزورها.