Hari ini Facebook terungkap layanan tersembunyinya yang memungkinkan pengguna mengakses situs web Anda dengan lebih hati-hati. Pengguna dan jurnalis telah menanyakan jawaban kami; berikut adalah beberapa poin untuk membantu Anda memahami pendapat kami.
Bagian satu: Ya, mengunjungi Facebook di Tor bukanlah kontradiksi
Saya tidak menyadari bahwa saya harus memasukkan bagian ini, sampai hari ini saya mendengar dari seorang jurnalis yang berharap mendapatkan kutipan dari saya tentang mengapa pengguna Tor bahkan tidak akan menggunakan Facebook. Mengesampingkan pertanyaan (yang masih sangat penting) tentang kebiasaan privasi Facebook, kebijakan nama asli yang berbahaya, dan apakah mereka harus memberi tahu Anda sesuatu tentang Anda atau tidak, kuncinya di sini adalah itu anonimitas tidak hanya bersembunyi dari tujuan Anda.
Tidak ada alasan untuk memberi tahu ISP Anda kapan atau jika Anda mengunjungi Facebook. Tidak ada alasan bagi ISP upstream Facebook, atau agensi apa pun yang memantau Internet, untuk mengetahui kapan atau jika mereka mengunjungi Facebook. Dan jika Anda memilih untuk memberi tahu Facebook sesuatu tentang Anda, tetap tidak ada alasan untuk membiarkan mereka secara otomatis menemukan kota tempat Anda berada saat melakukannya.
Juga, kita harus ingat bahwa ada beberapa tempat di mana Facebook tidak dapat diakses. Beberapa waktu lalu saya berbicara dengan seseorang dari keamanan di Facebook yang menceritakan sebuah cerita lucu. Ketika pertama kali bertemu Tor, dia benci dan takut karena dia "jelas" bermaksud merusak model bisnis mereka dalam mempelajari segala hal tentang penggunanya. Kemudian tiba-tiba Iran memblokir Facebook, sebagian besar populasi Persia di Facebook beralih mengakses Facebook melalui Tor, dan dia menjadi penggemar Tor karena jika tidak, pengguna tersebut akan diretas. Negara lain seperti China mengikuti pola serupa setelah itu. Pergeseran dalam pikirannya antara "Tor sebagai alat privasi untuk memungkinkan pengguna mengontrol data mereka sendiri" dan "Tor sebagai alat komunikasi untuk memberikan kebebasan kepada pengguna untuk memilih situs mana yang akan dikunjungi" adalah contoh yang bagus dari keragaman penggunaan TorApa pun yang Anda pikirkan tentang tujuan Tor, saya jamin ada orang yang menggunakannya untuk sesuatu yang belum Anda pertimbangkan.
Bagian dua: kami senang melihat adopsi layanan tersembunyi yang lebih luas
Saya pikir itu bagus untuk Tor karena Facebook menambahkan alamat .onion. Ada beberapa kasus penggunaan yang menarik untuk layanan tersembunyi: misalnya yang dijelaskan di «menggunakan layanan tersembunyi Tor untuk kebaikan«, Serta alat obrolan terdesentralisasi yang akan datang seperti Ricochet di mana setiap pengguna adalah layanan tersembunyi, jadi tidak ada titik sentral untuk memata-matai untuk menghemat data. Tetapi kami belum banyak mempublikasikan contoh-contoh ini, terutama dibandingkan dengan publisitas yang dimiliki oleh contoh-contoh "Saya memiliki situs web yang ingin ditutup pemerintah" dalam beberapa tahun terakhir.
Layanan tersembunyi mereka menyediakan berbagai properti keamanan yang berguna. Yang pertama - dan yang paling dipikirkan - karena desain menggunakan Sirkuit Tor, sulit untuk menemukan lokasi layanan di dunia. Tapi yang kedua, karena alamat suatu layanan adalah hash kunci Anda, mereka mengautentikasi sendiri: jika mereka mengetikkan alamat .onion tertentu, klien Tor Anda menjamin bahwa itu benar-benar berbicara ke layanan yang mengetahui kunci pribadi yang sesuai dengan alamat tersebut. Fitur ketiga yang bagus adalah bahwa proses pertemuan menyediakan enkripsi ujung ke ujung, bahkan saat lalu lintas tingkat aplikasi tidak dienkripsi.
Jadi saya senang bahwa langkah Facebook ini akan membantu terus membuka pikiran orang-orang tentang mengapa mereka ingin menawarkan layanan tersembunyi, dan membantu orang lain memikirkan lebih banyak kegunaan baru untuk layanan tersembunyi tersebut.
Implikasi bagus lainnya di sini adalah bahwa Facebook berkomitmen untuk menganggap serius pengguna Tor-nya. Ratusan ribu orang telah berhasil menggunakan Facebook di Tor selama bertahun-tahun, tetapi di era layanan seperti Wikipedia saat ini yang memilih untuk tidak menerima kontribusi dari pengguna yang peduli dengan privasiSangat menyegarkan dan menggembirakan melihat situs web besar memutuskan bahwa tidak apa-apa bagi penggunanya untuk menginginkan keamanan fisik yang lebih.
Sebagai tambahan dari optimisme itu, akan menyedihkan jika Facebook menambahkan layanan tersembunyi, bermasalah dengan troll, dan memutuskan bahwa mereka harus mencegah pengguna Tor menggunakan alamat lama mereka. https://www.facebook.com/. Jadi kita harus waspada dalam membantu Facebook terus mengizinkan pengguna Tor mengakses mereka melalui alamat mana pun.
Bagian tiga: alamat Anda yang sia-sia tidak berarti dunia sudah berakhir
Nama layanan tersembunyi Anda adalah "facebookcorewwwi.onion". Untuk menjadi hash dari kunci publik, itu pasti tidak terlihat acak. Banyak orang bertanya bagaimana mereka bisa melakukannya kekuatan kasar di atas seluruh nama.
Jawaban singkatnya adalah bahwa untuk paruh pertama ("facebook"), yang hanya 40 bit, mereka menghasilkan kunci berulang kali sampai mereka mendapatkan beberapa yang 40 bit pertama dari hashnya cocok dengan string yang mereka inginkan.
Kemudian mereka memiliki beberapa kunci yang namanya dimulai dengan "facebook", dan mereka melihat paruh kedua masing-masing untuk memilih kunci dengan suku kata yang diucapkan dan karena itu mudah diingat. Yang dengan "corewwwi" tampaknya yang terbaik bagi mereka - artinya mereka bisa datang dengan a Sejarah tentang mengapa itu adalah nama yang masuk akal untuk digunakan Facebook - dan mereka pergi untuknya.
Jadi untuk memperjelas, mereka tidak akan bisa membuat nama ini lagi jika mereka mau. Mereka dapat menghasilkan hash lain yang dimulai dengan "facebook" dan diakhiri dengan suku kata yang dapat diucapkan, tetapi itu bukan kekerasan pada seluruh nama layanan tersembunyi (semuanya 80 bit). Bagi mereka yang ingin mendalami matematika lebih jauh, baca tentang «serangan ulang tahun«. Dan bagi Anda yang ingin belajar (tolong bantu!) Tentang peningkatan yang ingin kami lakukan pada layanan tersembunyi, termasuk kata sandi dan nama yang lebih kuat, lihat «layanan tersembunyi membutuhkan kasih sayang"dan proposal Tor 224.
Bagian empat: Apa pendapat kami tentang sertifikat https untuk alamat .onion?
Facebook tidak hanya memasang layanan tersembunyi. Mereka juga mendapat sertifikat https untuk layanan tersembunyi mereka, dan ditandatangani oleh Digicert sehingga browser mereka akan menerimanya. Keputusan ini menghasilkan beberapa diskusi yang bersemangat di komunitas CA / Browser, yang memutuskan jenis nama apa yang dapat memiliki sertifikat resmi. Diskusi itu masih dalam proses, tapi ini adalah pandangan awal saya tentang ini.
Untuk: Kami, komunitas keamanan Internet, mengajari orang-orang bahwa https itu perlu dan http itu menakutkan. Jadi masuk akal jika pengguna ingin melihat string "https" di depan.
Kontra: Jabat tangan .onion pada dasarnya memberikan semua itu secara gratis, jadi dengan mendorong orang untuk membayar Digicert, kami memperkuat model bisnis sertifikasi ketika mungkin kami harus terus menunjukkan alternatif.
Mendukung: Memang https menawarkan sedikit lebih banyak, dalam kasus di mana layanan (farm server Facebook) tidak berada di tempat yang sama dengan program Tor. Ingatlah bahwa ini bukan persyaratan bahwa server web dan proses Tor berada di mesin yang sama, dan dalam konfigurasi yang rumit seperti Facebook, hal itu mungkin tidak boleh dilakukan. Orang dapat berargumen bahwa mil terakhir ini ada di dalam jaringan perusahaan Anda, jadi siapa yang peduli jika itu tidak dienkripsi, tetapi saya pikir frasa "ssl ditambahkan dan dihapus di sana" akan mengakhiri argumen itu.
Kekurangan: Jika sebuah situs mendapatkan sertifikat, itu akan semakin memperkuat pengguna bahwa itu "perlu", dan kemudian pengguna akan mulai bertanya kepada situs lain mengapa mereka tidak memilikinya. Saya khawatir akan terjadi tren di mana Anda perlu membayar uang Digicert untuk memiliki layanan tersembunyi atau mereka tidak akan menganggapnya mencurigakan - terutama karena layanan tersembunyi yang menghargai anonimitas mereka akan kesulitan memiliki sertifikat.
Alternatifnya adalah memberi tahu Tor Browser bahwa alamat .onion dengan https tidak pantas menerima peringatan munculan yang menakutkan. Pendekatan yang lebih teliti ke arah itu adalah memiliki cara agar layanan tersembunyi menghasilkan sertifikat https-nya sendiri yang ditandatangani dengan kunci privat bawang, dan memberi tahu Tor Browser cara memverifikasinya - pada dasarnya CA terdesentralisasi untuk alamat .onion, karena memang demikian. autentikator otomatis. Kemudian mereka tidak perlu melakukan hal yang tidak masuk akal dengan berpura-pura melihat apakah mereka dapat membaca email di domain, dan umumnya mempromosikan model CA saat ini.
Kita juga bisa membayangkan model nama hewan peliharaan di mana pengguna dapat memberitahu Tor Browser mereka bahwa alamat .onion ini "adalah" Facebook. Atau pendekatan yang lebih mudah adalah dengan membawa daftar bookmark layanan tersembunyi yang "diketahui" ke dalam Tor Browser - seperti CA kita sendiri, menggunakan model / etc / hosts yang lama. Pendekatan itu akan menimbulkan pertanyaan politik tentang situs mana yang harus kami dukung.
Jadi saya belum memutuskan arah mana yang menurut saya harus diambil diskusi ini. Saya solidaritas dengan "kami mengajari pengguna untuk memeriksa https, jadi jangan membingungkan mereka", tetapi saya juga khawatir tentang situasi licin di mana mendapatkan sertifikasi menjadi langkah wajib untuk memiliki layanan yang memiliki reputasi baik. Beri tahu kami jika Anda memiliki argumen menarik lainnya yang mendukung atau menentang.
Bagian Lima: Apa yang Harus Dilakukan?
Dari segi desain dan keamanan, layanan tersembunyi masih membutuhkan kasih sayang. Kami memiliki rencana untuk desain yang lebih baik (lihat proposal Tor 224) tetapi kami tidak memiliki cukup dana atau pengembang untuk mewujudkannya. Kami berbicara dengan beberapa insinyur Facebook minggu ini tentang keandalan dan skalabilitas layanan tersembunyi, dan kami senang Facebook mempertimbangkan untuk melakukan upaya pengembangan untuk membantu meningkatkan layanan tersembunyi.
Dan terakhir, berbicara tentang mengajari orang-orang tentang fitur keamanan situs .onion, saya bertanya-tanya apakah "layanan tersembunyi" bukan lagi frasa terbaik di sini. Kami awalnya menyebutnya "layanan lokasi tersembunyi", yang dengan cepat disingkat menjadi "layanan tersembunyi". Tetapi melindungi lokasi layanan hanyalah salah satu fitur keamanan yang mereka miliki. Mungkin kita harus mengadakan kontes untuk mengundi nama baru untuk layanan yang dilindungi itu? Bahkan sesuatu seperti "jasa bawang" bisa lebih baik jika memaksa orang untuk mempelajari apa adanya.
Selamat atas artikel yang bagus khususnya bagi kita di dunia yupi di Internet ini
Ini sangat sederhana. Jika Anda masuk dengan akun gmail atau facebook atau salah satu perusahaan yang disebutkan oleh Snowden, Anda kehilangan anonimitas Anda.
Ini seperti seseorang yang menggunakan TAIS dan masuk ke gmail dan berpura-pura menjadi anonim, satu-satunya hal yang akan mereka lakukan adalah menimbulkan kecurigaan dan menunjukkan nama pengguna mereka.
Seperti membaca bukan urusanmu, ya?
Hampir semua orang berbicara tentang Tor tetapi saya belum melihat i2p disebutkan di sini, tolong beri kami pendapat Anda tentang itu.
… Atau itu adalah jebakan manis untuk mengetahui pengguna Tor mana yang terhubung ke Facebook terlebih dahulu dan ke layanan pribadi atau aman lainnya nanti, untuk menyilangkan data dan mengidentifikasinya.
Saya di Facebook atau di foto, terima kasih. Dia meninggal. Saya lebih suka Diaspora jutaan kali. Tidak ada sensor.
Tapi itu karena mereka naif, baik TOR maupun Facebook dibiayai oleh orang yang sama, atau apakah mereka mengira TOR berinvestasi untuk anonimitas orang naif yang tidak menyadari di mana bisnisnya.
Mereka adalah wajah dari koin yang sama… mereka menginginkan keamanan? baik itu bukan tempat tembakan pergi.
Keamanan akan diberikan oleh profil palsu, profil yang dipikirkan dengan sempurna dan dapat dipercaya, tetapi salah dan selalu menggunakan profil yang sama, adalah hal terburuk yang dapat terjadi pada NSA atau siapa pun itu, jika Anda membuat profil dan mereka percaya itu.
Saya hanya akan mengatakan bahwa menurut saya Anda tidak memahami TOR dengan baik.
Saya hanya akan mengatakan bahwa dalam sistem apa pun yang membutuhkan server perantara, dimungkinkan untuk membeli dengan dolar dari pemilik server itu.
Cara terbaik adalah memberikan apa yang mereka inginkan tanpa menyembunyikan apapun, tetapi memberikannya dengan profil palsu dan mereka mempercayainya.
Satu-satunya yang mengkhawatirkan facebook adalah kehilangan pelanggan karena sensor beberapa negara, ada juga alternatif yang lebih baik misalnya torbook, diaspora, dll.
dan bagaimana dengan yang ini di sini
http://www.opennicproject.org/
Menarik, karena mudah sesuai dengan filosofi gerakan Freenet.
Saya sudah lama menggunakannya. Ini baik. ISP Anda tidak mengetahui halaman web mana yang Anda lihat. Pemilik server tersebut tidak menyimpan log mereka, jadi mereka juga tidak tahu. Ini membawa Anda sangat dekat dengan privasi yang diinginkan.
Ini tidak lagi berfungsi?
Bagi saya masih konyol menggunakan TOR untuk terhubung ke facebook,… apa saja yang disensor di negara Anda? itulah gunanya proxy. Tor adalah jaringan untuk anonimitas untuk tidak mengirim sesuatu dengan nama Anda, satu-satunya hal yang akan Anda capai adalah pelacak facebook melacak semua situs .onion yang Anda kunjungi.