Täna paljastas Facebook tema varjatud teenistus mis võimaldab kasutajatel teie veebisaidile hoolikamalt juurde pääseda. Kasutajad ja ajakirjanikud on küsinud meilt vastuseid; Siin on mõned punktid, mis aitavad teil meie arvamust mõista.
Esimene osa: Jah, Toris Facebooki külastamine pole vastuolu
Ma ei mõistnud, et peaksin selle jaotise lisama, kuni kuulsin täna ajakirjanikult, kes lootis saada minult tsitaati, miks Tori kasutajad isegi Facebooki ei kasuta. Jättes kõrvale (endiselt väga olulised) küsimused Facebooki privaatsusharjumuste, nende kahjulike pärisnimepoliitikate kohta ja selle kohta, kas nad peaksid teile midagi ütlema või mitte, on siin võti see, et anonüümsus ei peitu ainult teie sihtkohtade eest.
Interneti-teenuse pakkujal pole põhjust teada anda, kui või millal te Facebooki külastate. Pole mingit põhjust, miks Facebooki ülesvoolu Interneti-teenuse pakkuja või mõni muu internetti jälgiv agentuur teaks, millal või millal nad Facebooki külastavad. Ja kui otsustate Facebookile enda kohta midagi öelda, pole ikkagi põhjust lasta neil seda tehes oma linna automaatselt avastada.
Samuti peame meeles pidama, et on kohti, kuhu Facebooki juurde ei pääse. Mõni aeg tagasi rääkisin Facebookis turvatöötajaga, kes rääkis mulle ühe naljaka loo. Kui ta esimest korda Toriga kohtus, vihkas ta seda ja kartis seda, sest kavatses "selgelt" õõnestada selle ärimudelit, milles ta õppis kasutajate kohta kõike. Siis äkki blokeerib Iraan Facebooki, hea osa Pärsia elanikkonnast Facebookis läks Tori kaudu Facebookile juurde ja temast sai Tori fänn, sest muidu oleks neid kasutajaid häkitud. Ka teised riigid nagu Hiina järgisid pärast seda sarnast mustrit. See nihe tema mõtetes "Tor kui privaatsustööriist, mis võimaldab kasutajatel ise oma andmeid kontrollida" ja "Tor kui kommunikatsioonivahend, mis annab kasutajatele vabaduse valida, milliseid saite külastada" on suurepärane näide Tori kasutamise mitmekesisusMida iganes sa Torile mõtled, garanteerin, et on olemas inimene, kes kasutab seda millegi jaoks, mida sa pole arvestanud.
Teine osa: meil on hea meel varjatud teenuste laiema kasutuselevõtu üle
Ma arvan, et Tori jaoks on suurepärane, et Facebook lisas .onioni aadressi. Varjatud teenuste puhul on mõned veenvad kasutamisjuhud: näiteks need, mida on kirjeldatudkasutades Tori varjatud teenuseid lõplikult«Nagu ka eelseisvad detsentraliseeritud jututööriistad, nagu Ricochet, kus iga kasutaja on varjatud teenus, pole andmete salvestamiseks nuhkimiseks keskset punkti. Kuid me pole neid näiteid eriti avaldanud, eriti võrreldes avalikkusega, mida viimastel aastatel on olnud näited „Mul on veebisait, mille valitsus soovib sulgeda”.
Varjatud teenused need pakuvad mitmesuguseid kasulikke turvaomadusi. Esimene - ja see, mida kõige rohkem arvatakse - sest disain kasutab Tori ahelad, on raske teada, kus teenus maailmas asub. Aga teine, sest teenuse aadress on oma võtme räsi, nad on ise autentivad: kui nad sisestavad antud .ionioni aadressi, garanteerib teie Tor-klient, et see räägib tegelikult teenusega, kes teab aadressile vastavat privaatvõtit. Tore kolmas omadus on see, et kohtumisprotsess pakub otsast lõpuni krüpteerimist ka siis, kui rakendustaseme liiklus on krüptimata.
Nii et mul on hea meel, et see Facebooki käik aitab jätkuvalt avada inimeste mõtteid, miks nad tahaksid pakkuda varjatud teenust, ja aidata teistel mõelda varjatud teenuste uutele kasutusvõimalustele.
Veel üks hea järeldus on see, et Facebook kohustub oma Tori kasutajaid tõsiselt võtma. Sajad tuhanded inimesed on aastaid Toris Facebooki edukalt kasutanud, kuid tänapäeval selliste teenuste ajajärgul nagu Vikipeedia kes otsustavad privaatsusest hoolivate kasutajate kaastöid mitte vastu võttaVärskendav ja julgustav on näha suurt veebisaiti, kus otsustatakse, et selle kasutajatel on okei soovida rohkem füüsilist turvalisust.
Selle optimismi lisana oleks kurb, kui Facebook lisaks varjatud teenuse, tal oleks probleeme trollidega ja otsustaks, et nad peaksid takistama Tori kasutajaid oma vana aadressi kasutamast. https://www.facebook.com/. Seega peaksime olema valvsad, aidates Facebookil jätkata Tori kasutajatel juurdepääsu neile mis tahes aadressi kaudu.
Kolmas osa: teie asjatu pöördumine ei tähenda, et maailm oleks läbi
Teie varjatud teenuse nimi on "facebookcorewwwi.onion". Kuna see on avaliku võtme räsi, ei tundu see kindlasti juhuslik. Paljud inimesed küsisid, kuidas nad saaksid hakkama jõhker jõud kogu nime.
Lühike vastus on see, et esimese poolaasta ("facebook") jaoks, mis on ainult 40 bitti, genereerisid nad võtmeid ikka ja jälle, kuni said mõned, kelle esimesed 40 räsi bitti sobisid soovitud stringiga.
Siis olid neil mõned klahvid, mille nimed algasid "facebookiga", ja nad vaatasid igaühe teist poolt, et valida need, millel on hääldatavad ja seetõttu meeldejäävad silpid. "Corewwwi" tundus neile parim - see tähendab, et nad võiksid tulla koos Ajalugu miks see on mõistlik nimi, mida Facebook peab kasutama - ja nad läksid tema järele.
Nii et selguse huvides ei saaks nad soovi korral seda nime täpselt uuesti toota. Nad võiksid toota muid räsi, alustades "facebookist" ja lõpetades hääldatavate silpidega, kuid see pole jõhker jõud kogu varjatud teenuse nimele (kõik 80 bitti). Neile, kes soovivad matemaatikat edasi uurida, lugege teemat «sünnipäeva rünnak«. Ja neile, kes soovivad õppida (palun aidake!) Peidetud teenuste paranduste kohta, sealhulgas tugevamate paroolide ja nimede kohta, vaadake «varjatud teenused vajavad kiindumust"ja ettepanek Tor 224.
Neljas osa: mida me arvame .onioni aadressi https-i sertifikaadist?
Facebook ei pakkunud lihtsalt varjatud teenust. Nad said oma varjatud teenuse eest ka https-i sertifikaadi ja sellele kirjutab alla Digicert, nii et nende brauserid aktsepteerivad seda. See otsus andis mõned meeleolukad arutelud kogukonnas CA / Browser, mis otsustab, millistel nimedel võivad olla ametlikud sertifikaadid. See arutelu on alles väljatöötamisel, kuid need on minu varajased vaated sellele.
Poolt: Meie, Interneti turvakogukond, õpetame inimestele, et https on vajalik ja http on hirmutav. Seega on mõistlik, et kasutajad tahavad näha stringi "https" ees.
Con: .onioni käepigistus annab kõik selle põhimõtteliselt tasuta, nii et julgustades inimesi Digicertile maksma, tugevdame sertifitseerimise ärimudelit, kui peaksime võib-olla jätkama alternatiivi demonstreerimist.
Sest: https pakub tegelikult natuke rohkem, juhul kui teenus (Facebooki serverifarm) ei asu Tori programmiga samas kohas. Pidage meeles, et pole vaja, et veebiserver ja Tori protsess oleksid ühes masinas ja keerulises konfiguratsioonis nagu Facebook neid ilmselt ei peaks olema. Võib väita, et see viimane miil on teie ettevõtte võrgus, nii et keda see huvitab, kui see pole krüpteeritud, kuid ma arvan, et fraas "sinna lisatud ja eemaldatud ssl" lõpetab selle argumendi.
Miinused: kui sait saab sertifikaadi, kinnitab see kasutajatele veelgi, et see on "vajalik", ja siis hakkavad kasutajad teistelt saitidelt küsima, miks neil seda pole. Mul on mure, et moehullus algab seal, kus peate Digicertile raha maksma, et teil oleks varjatud teenust, vastasel juhul ei pea nad seda kahtlaseks - eriti kuna nende anonüümsust väärtustavatel varjatud teenustel oleks sertifikaati keeruline saada.
Alternatiiv oleks öelda Tor Browserile, et .onioni aadressid https-iga ei vääri hirmutavat hüpikakna hoiatust. Hoolikam lähenemine selles suunas on varjatud teenuse võimalus luua oma sibulaga privaatvõtmega allkirjastatud https-sertifikaat ja öelda Tor Browserile, kuidas neid kontrollida - põhimõtteliselt detsentraliseeritud CA .onioni aadresside jaoks, kuna need on autentsed autentijad. Siis poleks neil vaja läbi teha jama, teeskledes, kas nad suudavad domeenis e-kirju lugeda, ja üldiselt reklaamides praegust CA mudelit.
Võiksime ette kujutada ka mudelit lemmikloomade nimed kus kasutaja saab oma Tori brauserile öelda, et see .onioni aadress on "Facebook". Või oleks sirgjoonelisem lähenemine tuua nimekiri "teadaolevatest" varjatud teenuse järjehoidjatest Tor-brauserisse - näiteks meie enda CA-sse, kasutades vana / etc / hosts mudelit. Selline lähenemine tekitaks poliitilise küsimuse, milliseid saite me peaksime toetama.
Nii et ma pole veel otsustanud, millises suunas see arutelu minu arvates peaks minema. Toetan teemat "õpetame kasutajaid https-i kontrollima, nii et ärgem ajagu neid segadusse", kuid muretsen ka libeda olukorra pärast, kus sertifikaadi saamine muutub maineka teenuse saamiseks vajalikuks sammuks. Andke meile teada, kui teil on muid veenvaid argumente poolt või vastu.
Viies osa: mis jääb teha?
Nii disaini kui ka ohutuse osas varjatud teenused vajavad endiselt kiindumust. Meil on kavas täiustatud kujundust (vt ettepanek Tor 224), kuid meil pole selleks piisavalt vahendeid ega arendajaid. Rääkisime sel nädalal mõne Facebooki inseneriga varjatud teenuse usaldusväärsusest ja mastaapsusest ning oleme põnevil, et Facebook kaalub varjatud teenuste täiustamiseks arendustegevust.
Ja lõpuks, rääkides inimeste õpetamisest .onioni saitide turvaelementide kohta, mõtlen, kas "varjatud teenused" pole siin enam parim fraas. Algselt nimetasime neid "varjatud asukohateenusteks", mis lühendati kiiresti lihtsalt "varjatud teenusteks". Kuid teenuse asukoha kaitsmine on vaid üks nende turvaelementidest. Võib-olla peaksime pidama võistluse nende kaitstud teenuste uue nime loosimiseks? Isegi midagi sellist nagu "sibulateenused" võib olla parem, kui see sunnib inimesi õppima, mis nad on.
Õnnitleme suurepärase artikli puhul eriti neile, kes me siin Internetis yupi-maailmas elame
See on ülilihtne. Kui logite sisse gmaili või facebooki kontoga või mõnes Snowdeni mainitud ettevõttes, kaotate oma anonüümsuse.
See on nagu keegi, kes kasutab TAIS-i ja logib sisse gmaili ning teeskleb end anonüümsena, ainus asi, mida ta teeb, on kahtluste tekitamine ja kasutajanime märkimine.
Nagu lugemine pole sinu asi, mis?
Peaaegu kõik räägivad Torist, kuid ma ei ole i2p-d siin maininud, kui palun andke meile selle kohta oma arvamus.
… Või on see armas lõks, et teada saada, milline Tori kasutaja ühendub kõigepealt Facebookiga ja hiljem mõne muu privaatse või turvalise teenusega, et oleks võimalik andmeid kontrollida ja tuvastada.
Mind Facebookis või fotol, aitäh. Ta möödus. Eelistan diasporaa miljoneid kordi. Kummalgi pole tsensuuri.
Kuid kas nad on naiivsed, nii TOR-i kui ka Facebooki rahastavad samad inimesed, või arvatakse, et TOR investeerib naiivsete anonüümsuse nimel, kes ei saa aru, kus äri asub.
Nad on sama mündi nägu ... nad tahavad turvalisust? no sinna ei lähe kaadrid.
Turvalisuse annab valeprofiil, täiesti läbimõeldud ja usaldusväärne profiil, kuid vale ja alati sama kasutav profiil on halvim asi, mis võib juhtuda NSA-ga või kellega iganes, kui leiutate profiili ja nad usuvad seda.
Ütlen lihtsalt, et arvan, et te pole TORist hästi aru saanud.
Ütlen ainult, et igas süsteemis, mis vajab vahe-serverit, on selle serveri omanikelt võimalik dollaritega osta.
Parim viis on anda neile midagi varjamata seda, mida nad tahavad, kuid anda see neile võltsprofiiliga ja nad usuvad seda.
Ainus asi, mis Facebooki muret tekitab, on mõne riigi tsensuuri tõttu klientide kaotamine, on ka paremaid alternatiive, näiteks torbook, diasporaa jne.
ja mis siin sellest
http://www.opennicproject.org/
Huvitav, kuna see sobib kergesti Freeneti liikumise filosoofiasse.
Olen seda juba pikka aega kasutanud. See on hea. Teie Interneti-teenuse pakkuja ei tea, milliseid veebilehti näete. Nende serverite omanikud ei pea oma logisid, nii et nad ei tea ka seda. See viib teid soovitud privaatsusele väga lähedale.
See ei tööta enam?
Minu jaoks on endiselt rumal kasutada TOR-i Facebookiga ühenduse loomiseks ... mida on teie riigis tsenseeritud? selleks on volikirjad. Tor on anonüümsuse võrgustik, et mitte oma nimega asju postitada, ainus, mille saavutate, on see, et facebooki jälgijad jälgivad kõiki külastatud .onioni saite.