Heute hat Facebook enthüllt sein versteckter Dienst Dadurch können Benutzer genauer auf Ihre Website zugreifen. Benutzer und Journalisten haben uns nach unseren Antworten gefragt. Hier sind einige Punkte, die Ihnen helfen, unsere Meinung zu verstehen.
Teil eins: Ja, Facebook auf Tor zu besuchen ist kein Widerspruch
Ich wusste nicht, dass ich diesen Abschnitt aufnehmen sollte, bis heute hörte ich von einem Journalisten, der hoffte, ein Zitat von mir darüber zu erhalten, warum Tor-Benutzer Facebook nicht einmal nutzen würden. Abgesehen von den (immer noch sehr wichtigen) Fragen zu den Datenschutzgewohnheiten von Facebook, den schädlichen Richtlinien für echte Namen und ob sie Ihnen etwas über Sie erzählen sollten oder nicht, ist dies der Schlüssel Anonymität verbirgt sich nicht nur vor Ihren Zielen.
Es gibt keinen Grund, Ihrem ISP mitzuteilen, wann oder ob er Facebook besucht. Es gibt keinen Grund für den vorgelagerten ISP von Facebook oder eine Agentur, die das Internet überwacht, zu wissen, wann oder ob sie Facebook besuchen. Und wenn Sie Facebook etwas über Sie erzählen möchten, gibt es immer noch keinen Grund, die Stadt, in der Sie sich befinden, automatisch zu entdecken.
Wir müssen uns auch daran erinnern, dass es einige Orte gibt, an denen auf Facebook nicht zugegriffen werden kann. Ich habe vor einiger Zeit auf Facebook mit jemandem vom Sicherheitsdienst gesprochen, der mir eine lustige Geschichte erzählt hat. Als er Tor zum ersten Mal traf, hasste er es und fürchtete es, weil er "eindeutig" beabsichtigte, sein Geschäftsmodell zu untergraben, alles über seine Benutzer zu lernen. Dann blockiert der Iran plötzlich Facebook, ein guter Teil der persischen Bevölkerung auf Facebook wechselte über Tor zum Zugriff auf Facebook, und er wurde ein Fan von Tor, weil diese Benutzer sonst gehackt worden wären. Andere Länder wie China folgten danach einem ähnlichen Muster. Diese Änderung in seinem Kopf zwischen "Tor als Datenschutz-Tool, mit dem Benutzer ihre eigenen Daten kontrollieren können" und "Tor als Kommunikations-Tool, mit dem Benutzer frei wählen können, welche Websites sie besuchen möchten" ist ein gutes Beispiel dafür die Vielfalt der Tor-AnwendungenWas auch immer Sie darüber denken, wofür Tor ist, ich garantiere, es gibt eine Person, die es für etwas verwendet, das Sie nicht in Betracht gezogen haben.
Teil zwei: Wir freuen uns über eine breitere Akzeptanz versteckter Dienste
Ich finde es großartig für Tor, dass Facebook eine .onion-Adresse hinzugefügt hat. Es gibt einige überzeugende Anwendungsfälle für versteckte Dienste: zum Beispiel die in «Tor's versteckte Dienste für immer nutzen«Neben den bevorstehenden dezentralen Chat-Tools wie Ricochet, bei denen jeder Benutzer ein versteckter Dienst ist, gibt es keinen zentralen Punkt zum Ausspionieren, um Daten zu speichern. Wir haben diese Beispiele jedoch nicht viel veröffentlicht, insbesondere im Vergleich zu der Publizität, die die Beispiele „Ich habe eine Website, die die Regierung schließen möchte“ in den letzten Jahren hatten.
Versteckte Dienste Sie bieten eine Vielzahl nützlicher Sicherheitseigenschaften. Das erste - und das, was die meisten denken - weil Design verwendet Tor SchaltungenEs ist schwierig herauszufinden, wo sich der Dienst auf der Welt befindet. Aber die zweite, weil die Adresse eines Dienstes ist der Hash Ihres SchlüsselsSie authentifizieren sich selbst: Wenn sie eine bestimmte .onion-Adresse eingeben, garantiert Ihr Tor-Client, dass er tatsächlich mit dem Dienst spricht, der den privaten Schlüssel kennt, der der Adresse entspricht. Eine nette dritte Funktion ist, dass der Rendezvous-Prozess eine End-to-End-Verschlüsselung bietet, selbst wenn der Datenverkehr auf Anwendungsebene unverschlüsselt ist.
Daher freue ich mich, dass dieser Facebook-Schritt dazu beitragen wird, die Menschen weiterhin dafür zu sensibilisieren, warum sie einen versteckten Dienst anbieten möchten, und anderen dabei zu helfen, über neue Verwendungsmöglichkeiten für die versteckten Dienste nachzudenken.
Eine weitere gute Implikation ist, dass Facebook sich verpflichtet, seine Tor-Nutzer ernst zu nehmen. Hunderttausende Menschen nutzen Facebook seit Jahren erfolgreich auf Tor, aber im heutigen Zeitalter von Diensten wie Wikipedia die sich dafür entscheiden, keine Beiträge von Benutzern anzunehmen, denen der Datenschutz am Herzen liegtEs ist erfrischend und ermutigend zu sehen, wie eine große Website entscheidet, dass es für ihre Benutzer in Ordnung ist, mehr physische Sicherheit zu wünschen.
Als Ergänzung zu diesem Optimismus wäre es traurig, wenn Facebook einen versteckten Dienst hinzufügen würde, ein Problem mit Trollen hätte und beschließen würde, Tor-Benutzer daran zu hindern, ihre alte Adresse zu verwenden. https://www.facebook.com/. Wir sollten daher wachsam sein, wenn es darum geht, Facebook weiterhin zu ermöglichen, dass Tor-Benutzer über eine beliebige Adresse auf sie zugreifen können.
Teil drei: Ihre vergebliche Adresse bedeutet nicht, dass die Welt vorbei ist
Der Name Ihres versteckten Dienstes lautet "facebookcorewwwi.onion". Als Hash eines öffentlichen Schlüssels scheint es sicher nicht zufällig zu sein. Viele Leute fragten, wie sie es machen könnten rohe Gewalt über den gesamten Namen.
Die kurze Antwort lautet, dass sie für die erste Hälfte ("Facebook"), die nur 40 Bit umfasst, immer wieder Schlüssel generiert haben, bis sie einige erhalten haben, deren erste 40 Bit des Hashs mit der gewünschten Zeichenfolge übereinstimmen.
Dann hatten sie einige Schlüssel, deren Namen mit "Facebook" begannen, und sie sahen sich jeweils die zweite Hälfte an, um diejenigen mit ausgesprochenen und daher einprägsamen Silben auszuwählen. Das "corewwwi" schien ihnen das Beste zu sein - was bedeutete, dass sie mit einem kommen konnten Geschichte warum es ein vernünftiger Name für Facebook ist - und sie gingen für sie.
Um dies zu verdeutlichen, könnten sie diesen Namen nicht wieder genau produzieren, wenn sie wollten. Sie könnten andere Hashes erzeugen, die mit "Facebook" beginnen und mit aussprechbaren Silben enden, aber das ist keine rohe Gewalt auf den gesamten versteckten Dienstnamen (alle 80 Bit). Für diejenigen, die Mathematik weiter erforschen möchten, lesen Sie über die «Geburtstagsangriff«. Und für diejenigen, die lernen möchten (bitte helfen Sie!) Über die Verbesserungen, die wir an den versteckten Diensten vornehmen möchten, einschließlich stärkerer Passwörter und Namen, siehe «versteckte Dienste brauchen Zuneigung»Und der Vorschlag von Tor 224.
Teil vier: Was halten wir von einem https-Zertifikat für eine .onion-Adresse?
Facebook hat nicht nur einen versteckten Dienst eingerichtet. Sie haben auch ein https-Zertifikat für ihren versteckten Dienst erhalten, das von Digicert signiert ist, damit ihre Browser es akzeptieren. Diese Entscheidung brachte einige hervor lebhafte Diskussionen in der CA / Browser-Community, die entscheidet, welche Namen offizielle Zertifikate haben dürfen. Diese Diskussion ist noch im Gange, aber dies sind meine frühen Ansichten dazu.
Für: Wir, die Internet-Sicherheitsgemeinschaft, lehren die Menschen, dass https notwendig und http beängstigend ist. Daher ist es sinnvoll, dass Benutzer die Zeichenfolge "https" vorne sehen möchten.
Con: Der .onion-Handshake bietet all das im Grunde kostenlos. Indem wir die Leute dazu ermutigen, Digicert zu bezahlen, stärken wir das Geschäftsmodell der Zertifizierung, wenn wir vielleicht weiterhin eine Alternative demonstrieren sollten.
Für: https bietet tatsächlich etwas mehr, falls sich der Dienst (Facebooks Serverfarm) nicht am selben Ort wie das Tor-Programm befindet. Denken Sie daran, dass sich der Webserver und der Tor-Prozess nicht auf demselben Computer befinden müssen und in einer komplizierten Konfiguration wie Facebook wahrscheinlich nicht. Man könnte argumentieren, dass sich diese letzte Meile in Ihrem Unternehmensnetzwerk befindet. Wen kümmert es also, wenn sie nicht verschlüsselt ist, aber ich denke, der Ausdruck "ssl dort hinzugefügt und entfernt" wird dieses Argument beenden.
Nachteile: Wenn eine Site ein Zertifikat erhält, wird den Benutzern weiter bestätigt, dass es "notwendig" ist, und dann werden Benutzer andere Sites fragen, warum sie kein Zertifikat haben. Ich mache mir Sorgen, dass eine Modeerscheinung dort beginnt, wo Sie Digicert-Geld bezahlen müssen, um einen versteckten Dienst zu haben, oder sie werden es nicht für verdächtig halten - zumal versteckte Dienste, die ihre Anonymität schätzen, Schwierigkeiten haben würden, ein Zertifikat zu haben.
Eine Alternative wäre, Tor Browser mitzuteilen, dass .onion-Adressen mit https keine beängstigende Popup-Warnung verdienen. Ein akribischerer Ansatz in dieser Richtung besteht darin, einem versteckten Dienst die Möglichkeit zu geben, ein eigenes https-Zertifikat zu generieren, das mit seinem privaten Zwiebelschlüssel signiert ist, und Tor Browser mitzuteilen, wie sie überprüft werden sollen - im Grunde genommen eine dezentrale Zertifizierungsstelle für .onion-Adressen, da dies der Fall ist Autoauthentifizierer. Dann müssten sie nicht den Unsinn durchgehen, so zu tun, als ob sie E-Mails in der Domain lesen könnten, und generell für das aktuelle CA-Modell werben.
Wir könnten uns auch ein Modell von vorstellen Haustiernamen Hier kann der Benutzer seinem Tor-Browser mitteilen, dass diese .onion-Adresse "Facebook" ist. Oder der einfachere Ansatz wäre, eine Liste 'bekannter' versteckter Service-Lesezeichen in den Tor-Browser zu bringen - beispielsweise unsere eigene Zertifizierungsstelle unter Verwendung des alten Modells / etc / hosts. Dieser Ansatz würde die politische Frage aufwerfen, welche Websites wir unterstützen sollten.
Ich habe mich also noch nicht entschieden, in welche Richtung diese Diskussion meiner Meinung nach gehen soll. Ich bin solidarisch mit dem Thema "Wir bringen Benutzern bei, https zu überprüfen, damit wir sie nicht verwirren", aber ich mache mir auch Sorgen über die schlüpfrige Situation, in der das Erhalten einer Zertifizierung ein notwendiger Schritt für einen seriösen Service wird. Lassen Sie uns wissen, wenn Sie andere überzeugende Argumente dafür oder dagegen haben.
Fünfter Teil: Was bleibt noch zu tun?
In Bezug auf Design und Sicherheit, versteckte Dienste brauchen immer noch Zuneigung. Wir haben Pläne für verbesserte Designs (siehe der Vorschlag von Tor 224), aber wir haben nicht genug Geld oder Entwickler, um dies zu erreichen. Wir haben diese Woche mit einigen Facebook-Ingenieuren über die Zuverlässigkeit und Skalierbarkeit des versteckten Dienstes gesprochen, und wir freuen uns, dass Facebook erwägt, Entwicklungsanstrengungen zu unternehmen, um die versteckten Dienste zu verbessern.
Und schließlich frage ich mich, ob "versteckte Dienste" hier nicht mehr der beste Ausdruck sind, wenn ich davon spreche, Menschen über die Sicherheitsmerkmale von .onion-Sites zu unterrichten. Wir nannten sie ursprünglich "versteckte Ortungsdienste", was schnell zu "versteckten Diensten" verkürzt wurde. Der Schutz des Dienstorts ist jedoch nur eine der Sicherheitsfunktionen. Vielleicht sollten wir einen Wettbewerb veranstalten, um einen neuen Namen für diese geschützten Dienste zu verlosen? Sogar so etwas wie "Zwiebelservices" können besser sein, wenn sie die Leute dazu zwingen, zu lernen, was sie sind.
Herzlichen Glückwunsch zu einem großartigen Artikel, insbesondere für diejenigen von uns, die sich in den Welten von Yupi in diesem Internet befinden
Es ist super einfach. Wenn Sie sich mit einem Google Mail- oder Facebook-Konto oder einem der von Snowden genannten Unternehmen anmelden, verlieren Sie Ihre Anonymität.
Es ist, als würde jemand TAIS verwenden, sich bei Google Mail anmelden und vorgeben, anonym zu sein. Das einzige, was er tun wird, ist, Verdacht zu erregen und seinen Benutzernamen anzugeben.
Als ob Lesen nicht dein Ding ist, oder?
Fast alle reden über Tor, aber ich habe i2p hier nicht erwähnt gesehen, wenn Sie uns bitte Ihre Meinung dazu geben würden.
... oder es ist eine süße Falle, herauszufinden, welcher Tor-Benutzer zuerst eine Verbindung zu Facebook und später zu einem anderen privaten oder sicheren Dienst herstellt, um die Daten zu überprüfen und zu identifizieren.
Ich auf Facebook oder auf Foto, danke. Er ging vorbei. Ich bevorzuge die Diaspora millionenfach. Weder hat Zensur.
Aber ist es so, dass sie naiv sind, dass sowohl TOR als auch Facebook von denselben Personen finanziert werden, oder ist es so, dass sie glauben, dass TOR für die Anonymität der Naiven investiert, die nicht wissen, wo sich das Geschäft befindet?
Sie sind das Gesicht derselben Medaille ... sie wollen Sicherheit? Nun, das ist nicht der Ort, an dem die Schüsse gehen.
Sicherheit wird durch ein falsches Profil gegeben, ein perfekt durchdachtes und glaubwürdiges Profil, aber falsch und immer dasselbe zu verwenden, ist das Schlimmste, was der NSA oder wem auch immer passieren kann, wenn Sie ein Profil erfinden und sie es glauben ...
Ich sage nur, dass ich glaube, dass Sie TOR nicht gut verstanden haben.
Ich werde nur sagen, dass es in jedem System, das einen Zwischenserver benötigt, möglich ist, mit Dollars von den Eigentümern dieses Servers zu kaufen.
Der beste Weg ist, ihnen zu geben, was sie wollen, ohne etwas zu verbergen, aber es ihnen mit einem falschen Profil zu geben, und sie glauben es.
Das einzige, was Facebook beunruhigt, ist der Verlust von Kunden aufgrund der Zensur einiger Länder. Es gibt auch bessere Alternativen wie Torbook, Diaspora usw.
und was ist mit diesem hier
http://www.opennicproject.org/
Interessant, da es leicht in die Philosophie der Freenet-Bewegung passt.
Ich benutze es schon lange. Das ist gut. Ihr ISP weiß nicht, welche Webseiten Sie sehen. Die Besitzer dieser Server speichern ihre Protokolle nicht, daher wissen sie es auch nicht. Es bringt Sie der gewünschten Privatsphäre sehr nahe.
Es funktioniert nicht mehr?
Für mich ist es immer noch albern, TOR zu verwenden, um eine Verbindung zu Facebook herzustellen. Was wurden Sie in Ihrem Land zensiert? Dafür sind Proxies da. Tor ist ein Netzwerk für Anonymität, um keine Dinge mit Ihrem Namen zu veröffentlichen. Das einzige, was Sie erreichen, ist, dass Facebook-Tracker alle von Ihnen besuchten .onion-Websites verfolgen.