Днес Facebook разкри скритата му служба което позволява на потребителите да имат по-внимателен достъп до вашия уебсайт. Потребители и журналисти ни попитаха за отговорите ни; ето няколко точки, които ще ви помогнат да разберете нашето мнение.
Част първа: Да, посещението на Facebook в Tor не е противоречие
Не осъзнавах, че трябва да включа този раздел, до днес чух от журналист, който се надяваше да има цитат от мен, защо потребителите на Tor дори не биха използвали Facebook. Като оставим настрана (все още много важните) въпроси относно навиците за поверителност на Facebook, техните вредни политики за истински имена и дали те трябва да ви кажат нещо за вас, ключът тук е, че анонимността не се крие само от вашите дестинации.
Няма причина да уведомите вашия доставчик на интернет, когато или ако посещават Facebook. Няма причина доставчикът на услуги на Facebook нагоре по веригата или която и да е агенция, която наблюдава интернет, да знае кога или дали посещава Facebook. И ако решите да кажете на Facebook нещо за вас, все още няма причина да им позволите автоматично да открият града, в който се намирате, докато го правите.
Също така трябва да помним, че има някои места, където Facebook не може да бъде достъпен. Говорих с някой от охраната във Facebook преди време, който ми разказа забавна история. Когато за първи път се срещна с Tor, той го мразеше и се страхуваше от него, защото "очевидно" възнамеряваше да подкопае бизнес модела му да научи всичко за своите потребители. След това внезапно Иран блокира Facebook, голяма част от персийското население във Facebook премина към достъп до Facebook чрез Tor и той стана фен на Tor, защото в противен случай тези потребители биха били хакнати. Други страни като Китай следват подобен модел след това. Тази промяна в съзнанието му между „Tor като инструмент за поверителност, който позволява на потребителите да контролират собствените си данни“ и „Tor като инструмент за комуникация, за да даде на потребителите свободата да избират кои сайтове да посетят“ е чудесен пример за разнообразието на Tor използваКаквото и да мислите за какво е Tor, гарантирам, че има човек, който го използва за нещо, което не сте обмисляли.
Част втора: радваме се да видим по-широко приемане на скрити услуги
Мисля, че е чудесно за Tor, че Facebook добави .onion адрес. Има някои убедителни случаи на използване на скрити услуги: например тези, описани в «използване на скритите услуги на Tor за добро«, Както и предстоящите децентрализирани инструменти за чат като Ricochet, където всеки потребител е скрита услуга, така че няма централна точка, която да шпионира за запазване на данни. Но ние не публикувахме много тези примери, особено в сравнение с публичността, която примери „Имам уебсайт, който правителството иска да затвори“ през последните години.
Скритите услуги те предоставят разнообразни полезни свойства за сигурност. Първият - и този, който най-много мисли - защото дизайнът използва Tor вериги, е трудно да се открие къде се намира услугата в света. Но второто, защото адресът на услугата е хешът на вашия ключ, те се самоудостоверяват: ако въведат даден .onion адрес, вашият Tor клиент гарантира, че всъщност говори на услугата, която знае частния ключ, който съответства на адреса. Добра трета функция е, че процесът на рандеву осигурява шифроване от край до край, дори когато трафикът на ниво приложение е некриптиран.
Така че съм развълнуван, че този ход във Facebook ще помогне да се отвори съзнанието на хората защо те биха искали да предлагат скрита услуга и ще помогне на другите да измислят повече нови приложения за скритите услуги.
Друго добро значение тук е, че Facebook се ангажира да приема своите потребители Tor сериозно. Стотици хиляди хора успешно използват Facebook в Tor от години, но в днешната ера на услуги като Wikipedia които решат да не приемат дарения от потребители, които се грижат за поверителносттаОсвежаващо и окуражаващо е да видите голям уебсайт, който решава, че е добре потребителите му да искат повече физическа сигурност.
Като допълнение към този оптимизъм ще бъде тъжно, ако Facebook добави скрита услуга, има проблем с троловете и реши, че трябва да попречи на потребителите на Tor да използват стария си адрес. https://www.facebook.com/. Така че трябва да бъдем бдителни, като помагаме на Facebook да продължи да позволява на потребителите на Tor да имат достъп до тях чрез всеки адрес.
Част трета: суетният ви адрес не означава, че светът е свършил
Името на вашата скрита услуга е "facebookcorewwwi.onion". За да бъде хешът на публичен ключ, той със сигурност не изглежда случаен. Много хора питаха как могат да се справят груба сила върху цялото име.
Краткият отговор е, че за първата половина ("facebook"), която е само 40 бита, те генерират ключове отново и отново, докато не получат някои, чиито първите 40 бита от хеша съвпадат с низа, който са искали.
След това те имаха няколко клавиша, чиито имена започваха с „facebook“ и те разглеждаха втората половина на всеки, за да изберат тези с произносими и следователно запомнящи се срички. "Corewwwi" изглеждаше най-добрият за тях - което означава, че те могат да дойдат с История за това защо е разумно име за Facebook да се използва - и те отидоха за нея.
Така че, за да се изясни, те не биха могли да произведат отново точно това име, ако искат. Те биха могли да създадат други хешове, които започват с "facebook" и завършват с произносими срички, но това не е груба сила за цялото скрито име на услугата (всички 80 бита). За тези, които искат да изследват математиката по-нататък, прочетете за «атака за рожден ден«. А за тези, които искат да научат (моля, помогнете!) За подобренията, които бихме искали да направим в скритите услуги, включително по-силни пароли и имена, вижте «скритите услуги се нуждаят от обич" и предложението Tor 224.
Част четвърта: Какво мислим за https сертификат за .onion адрес?
Facebook не просто предостави скрита услуга. Те също така получиха https сертификат за своята скрита услуга и той е подписан от Digicert, така че техните браузъри ще го приемат. Това решение породи някои одухотворени дискусии в CA / Browser общността, която решава какъв вид имена могат да имат официални сертификати. Тази дискусия все още е в ход, но това са моите ранни възгледи за това.
За: Ние, общността за интернет сигурност, учим хората, че https е необходим и че http е страшен. Така че има смисъл потребителите да искат да видят низа „https“ отпред.
Против: Ръкостискането .onion всъщност дава всичко това безплатно, така че като насърчаваме хората да плащат на Digicert, ние засилваме сертификационния бизнес модел, когато може би трябва да продължим да демонстрираме алтернатива.
В полза: Всъщност https предлага малко повече, в случай че услугата (сървърната ферма на Facebook) не е на същото място като програмата Tor. Не забравяйте, че не е задължително уеб сървърът и процесът Tor да са на една и съща машина, а в сложна конфигурация като Facebook те вероятно не трябва да бъдат. Може да се твърди, че тази последна миля е във вашата корпоративна мрежа, така че кой се интересува, ако не е криптиран, но мисля, че фразата „ssl добавен и премахнат там“ ще приключи с този аргумент.
Против: Ако даден сайт получи сертификат, той допълнително ще подсили потребителите, че е „необходим“, а след това потребителите ще започнат да питат други сайтове защо нямат такъв. Притеснявам се, че прищявка започва там, където трябва да платите пари на Digicert, за да имате скрита услуга, или те няма да мислят, че е подозрително - особено след като скритите услуги, които ценят тяхната анонимност, трудно биха имали сертификат.
Алтернатива би била да кажете на Tor Browser, че адресите на .onion с https не заслужават страшно изскачащо предупреждение. По-щателен подход в тази посока е да има начин скритата услуга да генерира свой собствен https сертификат, подписан с частния ключ на лука, и да каже на Tor Browser как да ги провери - основно децентрализиран CA за адреси .onion, тъй като те са авто-автентификатори. Тогава не би трябвало да преживяват глупостите да се преструват, за да видят дали могат да четат имейли в домейна и като цяло да популяризират настоящия CA модел.
Бихме могли да си представим и модел на имена на домашни любимци където потребителят може да каже на своя браузър Tor, че този .onion адрес е "Facebook". Или по-ясният подход би бил да въведете списък с "известни" скрити маркери на услуги в браузъра Tor - като нашия собствен CA, като използвате стария / etc / hosts модел. Този подход би повдигнал политическия въпрос кои сайтове трябва да поддържаме.
Така че все още не съм решил в коя посока според мен трябва да поеме тази дискусия. Подкрепям „учим потребителите да проверяват https, така че нека не ги объркваме“, но също така се притеснявам от хлъзгавата ситуация, при която получаването на сертификат се превръща в задължителна стъпка за получаване на реномирана услуга. Уведомете ни, ако имате други убедителни аргументи за или против.
Част пета: Какво остава да се направи?
По отношение на дизайна и безопасността, скритите услуги все още се нуждаят от обич. Имаме планове за подобрен дизайн (вж предложението Tor 224), но нямаме достатъчно средства или разработчици, за да направим това. Тази седмица разговаряхме с някои инженери на Facebook за надеждността и мащабируемостта на скритата услуга и сме развълнувани, че Facebook обмисля да положи усилия за разработка, за да помогне за подобряването на скритите услуги.
И накрая, като говорим за обучение на хората за функциите за сигурност на .onion сайтовете, се чудя дали „скритите услуги“ вече не са най-добрата фраза тук. Първоначално ги наричахме „услуги за скрито местоположение“, което бързо беше съкратено до „скрити услуги“. Но защитата на местоположението на услугата е само една от функциите за сигурност, които имат. Може би трябва да имаме състезание за разиграване на ново име за тези защитени услуги? Дори нещо като „услуги за лук“ може да бъде по-добро, ако принудят хората да научат какви са.
Поздравления за страхотна статия, особено за тези от нас, които сме в света на юпи в този Интернет
Това е супер просто. Ако влезете с акаунт в gmail или facebook или с някоя от компаниите, споменати от Snowden, губите анонимността си.
Това е като някой, който използва TAIS и влезе чрез gmail и се преструва на анонимен, единственото, което ще направи, е да повдигне подозрения и да посочи потребителското си име.
Като четенето не е твоето нещо, а?
Почти всички говорят за Tor, но не съм виждал i2p, споменат тук, ако бихте могли да ни кажете мнението си за него.
... Или е сладък капан да разберете кой потребител на Tor се свързва първо с Facebook, а по-късно с друга частна или сигурна услуга, за да провери данните и да ги идентифицира.
Аз във Facebook или на снимка, благодаря. Той премина. Предпочитам диаспората милиони пъти. Нито една от двете няма цензура.
Но дали те са наивни, както TOR, така и Facebook се финансират от едни и същи хора, или се смята, че TOR инвестира за анонимността на наивните, които не осъзнават къде е бизнесът.
Те са лицето на една и съща монета ... искат сигурност? е, това не е мястото, където изстрелите отиват.
Сигурността ще бъде предоставена от фалшив профил, напълно обмислен и достоверен профил, но фалшивият и винаги използващ един и същ е най-лошото нещо, което може да се случи на NSA или на когото и да е, ако измислите профил и те повярвай ...
Просто ще кажа, че не мисля, че сте разбрали добре ТОР.
Ще кажа само, че във всяка система, която се нуждае от междинен сървър, е възможно да се купува с долари от собствениците на този сървър.
Най-добрият начин е да им дадете това, което искат, без да крият нищо, но да им го дадете с фалшив профил и те му вярват.
Единственото, което притеснява facebook, е загубата на клиенти поради цензурата на някои страни, има и по-добри алтернативи, например torbook, диаспора и т.н.
и какво ще кажете за този тук
http://www.opennicproject.org/
Интересно, тъй като лесно се вписва във философията на движението Freenet.
Използвам го отдавна. Добре е. Вашият интернет доставчик не знае кои уеб страници виждате. Собствениците на тези сървъри не запазват дневниците си, така че не знаят и двете. Той ви доближава много до желаната поверителност.
Вече не работи?
За мен все още е глупаво да използвам TOR, за да се свържа с facebook, ... какво са цензурирали във вашата страна? за това са прокситата. Tor е мрежа за анонимност, която не публикува неща с вашето име, единственото нещо, което ще постигнете, е, че facebook тракерите проследяват всички .onion сайтове, които посещавате.