Dnes Facebook odhalen jeho skrytá služba který umožňuje uživatelům pečlivější přístup na váš web. Uživatelé a novináři se nás zeptali na naše odpovědi; zde je několik bodů, které vám pomohou pochopit náš názor.
Část první: Ano, návštěva Facebooku na Tor není rozpor
Neuvědomil jsem si, že bych měl zahrnout tuto část, až dnes jsem slyšel od novináře, který doufal, že mě bude mít citát o tom, proč uživatelé Tor nebudou používat ani Facebook. Když pomineme (stále velmi důležité) otázky týkající se zvyků Facebooku v oblasti ochrany soukromí, jejich škodlivých zásad v oblasti skutečných jmen a toho, zda by vám o vás měli něco říkat, klíčem zde je, že anonymita se neskrývá jen před vašimi cíli.
Neexistuje žádný důvod, abyste informovali svého ISP, když nebo jestli navštěvují Facebook. Neexistuje žádný důvod, aby poskytovatel ISP na Facebooku nebo jakákoli agentura, která monitoruje internet, věděli, kdy a zda navštěvují Facebook. A pokud se rozhodnete něco o sobě říct Facebooku, stále není důvod nechat je, aby při tom automaticky objevovali město, ve kterém se nacházíte.
Musíme si také pamatovat, že na některých místech není přístup na Facebook. Před časem jsem mluvil s někým z bezpečnostního oddělení na Facebooku, který mi vyprávěl zábavný příběh. Když se poprvé setkal s Torem, nenáviděl to a bál se ho, protože „jasně“ zamýšlel podkopat jeho obchodní model učení všeho o jeho uživatelích. Pak najednou Írán blokuje Facebook, velká část perské populace na Facebooku přešla na přístup k Facebooku přes Tor, a on se stal fanouškem Tor, protože jinak by byli tito uživatelé hacknuti. Ostatní země, jako je Čína, se poté řídily podobným vzorem. Tento posun v jeho mysli mezi „Torem jako nástrojem na ochranu soukromí, který umožňuje uživatelům ovládat svá vlastní data“, a „Torem jako komunikační nástroj, který dává uživatelům svobodu volby, které stránky mají navštívit“, je skvělým příkladem rozmanitost použití TorCokoli si myslíte o tom, k čemu je Tor, zaručuji, že existuje člověk, který to použije pro něco, o čem jste neuvažovali.
Část druhá: jsme rádi, že můžeme vidět širší přijetí skrytých služeb
Myslím, že pro Tor je skvělé, že Facebook přidal adresu .onion. Existují některé přesvědčivé případy použití skrytých služeb: například ty popsané v «dobré využití Torových skrytých služeb«, Stejně jako nadcházející decentralizované nástroje pro chat, jako je Ricochet, kde je každý uživatel skrytou službou, takže neexistuje žádný centrální bod, který by mohl špehovat ukládání dat. Ale tyto příklady jsme moc nezveřejňovali, zejména ve srovnání s publicitou, kterou v posledních letech měly příklady „Mám web, který chce vláda zavřít“.
Skryté služby poskytují řadu užitečných vlastností zabezpečení. První - a ten, který si většina myslí - protože design používá Tor obvody, je těžké zjistit, kde se služba ve světě nachází. Ale druhý, protože adresa služby je hash vašeho klíče, ověřují se sami: pokud zadají danou adresu .onion, váš klient Tor zaručuje, že ve skutečnosti mluví se službou, která zná soukromý klíč, který odpovídá adrese. Příjemnou třetí funkcí je, že proces setkání poskytuje šifrování typu end-to-end, i když je provoz na úrovni aplikace nezašifrovaný.
Jsem tedy nadšený, že tento krok na Facebooku pomůže lidem dále otevřít mysl, proč by chtěli nabízet skrytou službu, a pomůže ostatním vymyslet další nové využití skrytých služeb.
Dalším dobrým důsledkem je, že se Facebook zavazuje brát své uživatele Tor vážně. Stovky tisíc lidí úspěšně používají Facebook na Tor po celá léta, ale v dnešní době služeb, jako je Wikipedia kteří se rozhodnou nepřijímat příspěvky od uživatelů, kterým záleží na soukromíJe osvěžující a povzbudivé vidět velkou webovou stránku, která se rozhoduje, že je v pořádku, když její uživatelé chtějí více fyzického zabezpečení.
Jako dodatek k tomuto optimismu by bylo smutné, kdyby Facebook přidal skrytou službu, měl problém s trolly a rozhodl se, že by měli uživatelům Tor zabránit v používání jejich staré adresy. https://www.facebook.com/. Měli bychom tedy být ostražití a pomáhat Facebooku i nadále umožňovat uživatelům Tor přístup k nim prostřednictvím jakékoli adresy.
Část třetí: vaše marná adresa neznamená, že svět skončil
Název vaší skryté služby je „facebookcorewwwi.onion“. Aby to byl hash veřejného klíče, určitě to nevypadá náhodně. Mnoho lidí se ptalo, jak by mohli hrubá síla přes celé jméno.
Krátká odpověď je, že pro první polovinu („facebook“), což je pouze 40 bitů, generovali klíče znovu a znovu, dokud nezískali některé, jejichž prvních 40 bitů hash odpovídalo požadovanému řetězci.
Pak měli několik klíčů, jejichž jména začínali na „facebook“, a dívali se na druhou polovinu každého z nich, aby si vybrali ty s výraznými, a proto nezapomenutelnými slabikami. Ten „corewwwi“ se jim zdál nejlepší - to znamená, že mohli přijít s Historie proč je pro Facebook rozumné jméno používat - a šli pro ni.
Aby bylo jasno, nebyli by schopni znovu vyrobit přesně toto jméno, kdyby chtěli. Mohli by produkovat další hashe, které začínají „facebookem“ a končí vyslovitelnými slabikami, ale to není hrubá síla na celý název skryté služby (všech 80 bitů). Pro ty, kteří chtějí prozkoumat matematiku dále, si přečtěte o «narozeninový útok«. A pro ty, kteří se chtějí dozvědět (prosím pomozte!) O vylepšeních, která bychom chtěli provést ve skrytých službách, včetně silnějších hesel a jmen, viz «skryté služby potřebují náklonnost" a návrh Tor 224.
Část čtvrtá: Co si myslíme o certifikátu https pro adresu .onion?
Facebook nezavedl jen skrytou službu. Získali také certifikát https pro svou skrytou službu a je podepsán společností Digicert, aby ji jejich prohlížeče přijaly. Toto rozhodnutí přineslo některé temperamentní diskuse v komunitě CA / Prohlížeč, která rozhoduje, jaký druh jmen může mít oficiální certifikáty. Tato diskuse stále probíhá, ale toto jsou mé rané pohledy na to.
Pro: My, komunita zabezpečení internetu, učíme lidi, že https je nezbytný a že http je děsivý. Dává tedy smysl, že uživatelé chtějí vidět řetězec „https“ vpředu.
Con: Handshake .onion v zásadě poskytuje vše zdarma, takže podporou lidí, aby platili společnosti Digicert, posilujeme obchodní model certifikace, když bychom měli i nadále demonstrovat alternativu.
For: https vlastně nabízí o něco více, v případě, že služba (serverová farma Facebooku) není na stejném místě jako program Tor. Nezapomeňte, že není nutné, aby webový server a proces Tor byly na stejném stroji, a ve složité konfiguraci, jako je Facebook, by to pravděpodobně neměly být. Dalo by se namítnout, že tato poslední míle je uvnitř vaší podnikové sítě, takže koho by zajímalo, jestli to není šifrované, ale myslím, že fráze „ssl tam přidán a odstraněn“ tento argument ukončí.
Nevýhody: Pokud web získá certifikát, bude uživatele dále posilovat, že je „nezbytný“, a uživatelé se poté začnou ptát jiných webů, proč ho nemají. Obávám se, že móda začne tam, kde musíte zaplatit Digicertovi peníze, abyste měli skrytou službu, nebo si nebudou myslet, že je to podezřelé - zejména proto, že skryté služby, které si cení jejich anonymity, by jen těžko měly certifikát.
Alternativou by bylo říct Tor Browser, že .onion adresy s https si nezaslouží děsivé upozornění na vyskakovací okno. Pečlivějším přístupem v tomto směru je mít způsob, jak skrytá služba vygeneruje svůj vlastní certifikát https podepsaný svým soukromým klíčem cibule a řekne Tor Browser, jak je ověřit - v podstatě decentralizovaná CA pro adresy .onion, protože jsou automaticky ověřovatelé. Pak by nemuseli procházet nesmysly předstírat, že mohou číst e-maily na doméně, a obecně propagovat současný model CA.
Mohli bychom si také představit model jména domácích mazlíčků kde uživatel může svému prohlížeči Tor říci, že tato .onion adresa „je“ Facebook. Nebo přímějším přístupem by bylo přinést seznam „známých“ skrytých záložek služeb do prohlížeče Tor - jako je naše vlastní CA, pomocí starého modelu / etc / hosts. Tento přístup by nastolil politickou otázku, které weby bychom měli podporovat.
Ještě jsem se tedy nerozhodl, jakým směrem by se podle mě měla tato diskuse ubírat. Soucitím s „učíme uživatele kontrolovat https, tak je nepleťme“, ale také si dělám starosti s kluzkou situací, kdy se získání certifikace stává nezbytným krokem k získání renomované služby. Dejte nám vědět, pokud máte nějaké další přesvědčivé argumenty pro nebo proti.
Část pátá: Co zbývá udělat?
Z hlediska designu i bezpečnosti skryté služby stále potřebují náklonnost. Máme plány na vylepšené designy (viz návrh Tor 224), ale nemáme dostatek finančních prostředků ani vývojářů, abychom to mohli uskutečnit. Tento týden jsme mluvili s některými inženýry Facebooku o spolehlivosti a škálovatelnosti skryté služby a jsme nadšení, že Facebook uvažuje o vyvinutí úsilí s cílem zlepšit skryté služby.
A konečně, když mluvíme o výuce lidí o bezpečnostních prvcích stránek .onion, zajímalo by mě, jestli už zde nejsou „skryté služby“ tou nejlepší frází. Původně jsme jim říkali „skryté lokalizační služby“, které se rychle zkrátily jen na „skryté služby“. Ochrana umístění služby je však jen jednou z bezpečnostních funkcí, které mají. Možná bychom měli uspořádat soutěž o slosování nového názvu pro tyto chráněné služby? I něco jako „cibulové služby“ může být lepší, když lidi donutí naučit se, co jsou zač.
Gratulujeme k skvělému článku, zejména pro ty z nás, kteří jsou na tomto internetu na světě yupi
Je to super jednoduché. Pokud se přihlásíte pomocí účtu v Gmailu nebo na Facebooku nebo v některé ze společností zmíněných Snowdenem, ztratíte svou anonymitu.
Je to jako někdo, kdo používá TAIS, přihlašuje se do služby Gmail a předstírá, že je anonymní, jediné, co udělá, je vzbudit podezření a uvést své uživatelské jméno.
Stejně jako čtení není vaše věc, hm?
Téměř každý mluví o Torovi, ale neviděl jsem zde zmíněné i2p, pokud byste nám prosím poskytli svůj názor na to.
… Nebo je sladkou pastí vědět, který uživatel Tor se nejprve připojí k Facebooku a později k jiné soukromé nebo zabezpečené službě, aby mohl údaje zkontrolovat a identifikovat.
Já na Facebooku nebo na fotografii, děkuji. Prošel. Dávám přednost Diaspoře milionkrát. Ani cenzura nemá.
Ale je to tak, že jsou naivní, jak TOR, tak Facebook jsou financováni stejnými lidmi, nebo je to tak, že se TOR předpokládá, že investuje pro anonymitu naivních, kteří si neuvědomují, kde je podnikání.
Jsou tváří stejné mince ... chtějí bezpečnost? no to není místo, kam výstřely jdou.
Zabezpečení bude zajištěno falešným profilem, dokonale promyšleným a důvěryhodným profilem, ale falešný a vždy s použitím stejného, je to nejhorší, co se může stát NSA nebo komukoli, pokud vymyslíte profil a oni tomu věří ...
Jen řeknu, že si nemyslím, že jsi dobře pochopil TOR.
Řeknu jen, že v každém systému, který potřebuje přechodný server, je možné nakupovat za dolary od vlastníků tohoto serveru.
Nejlepší způsob je dát jim, co chtějí, aniž by něco skrývali, ale dát jim to s falešným profilem a oni tomu věří.
Jediná věc, která trápí Facebook, je ztráta zákazníků kvůli cenzuře některých zemí, existují i lepší alternativy, například torbook, diaspora atd.
a co tenhle tady
http://www.opennicproject.org/
Zajímavé, protože snadno zapadá do filozofie hnutí Freenet.
Používám to už dlouho. Je to dobré. Váš ISP neví, jaké webové stránky vidíte. Vlastníci těchto serverů neuchovávají své protokoly, takže ani oni nevědí. Přibližuje vás velmi blízko k požadovanému soukromí.
Už to nefunguje?
Pro mě je pořád hloupé používat TOR k připojení na facebook,… co jste ve vaší zemi cenzurovali? k tomu jsou proxy. Tor je síť pro anonymitu, která neumožňuje zveřejňovat věci pod vaším jménem. Jediné, čeho dosáhnete, je, že sledovače facebooku sledují všechny .onion stránky, které navštívíte.