Oggi Facebook ha rivelato il suo servizio nascosto che consente agli utenti di accedere al tuo sito web con maggiore attenzione. Utenti e giornalisti ci hanno chiesto le nostre risposte; ecco alcuni punti per aiutarti a capire la nostra opinione.
Prima parte: Sรฌ, visitare Facebook su Tor non รจ una contraddizione
Non sapevo che avrei dovuto includere questa sezione, fino ad oggi ho sentito da un giornalista che sperava di avere una mia citazione sul motivo per cui gli utenti Tor non avrebbero nemmeno usato Facebook. Lasciando da parte le domande (ancora molto importanti) sulle abitudini di privacy di Facebook, le loro dannose politiche sul nome reale e se dovrebbero o meno dirti qualcosa su di te, la chiave qui รจ che l'anonimato non รจ solo nascondersi dalle proprie destinazioni.
Non c'รจ motivo di far sapere al tuo ISP quando o se stai visitando Facebook. Non c'รจ motivo per l'ISP a monte di Facebook, o qualsiasi agenzia che monitora Internet, di sapere quando o se stanno visitando Facebook. E se scegli di dire a Facebook qualcosa su di te, non c'รจ ancora motivo per fargli scoprire automaticamente la cittร in cui ti trovi mentre lo fai.
Inoltre, dobbiamo ricordare che ci sono alcuni luoghi in cui non รจ possibile accedere a Facebook. Ho parlato con qualcuno della sicurezza su Facebook qualche tempo fa che mi ha raccontato una storia divertente. Quando ha incontrato Tor per la prima volta, lo odiava e lo temeva perchรฉ intendeva "chiaramente" minare il suo modello di business di apprendere tutto sui suoi utenti. Poi improvvisamente l'Iran blocca Facebook, una buona fetta della popolazione persiana su Facebook รจ passata ad accedere a Facebook tramite Tor, ed รจ diventato un fan di Tor perchรฉ altrimenti quegli utenti sarebbero stati hackerati. Altri paesi come la Cina hanno seguito un modello simile. Quel cambiamento nella sua mente tra "Tor come strumento per la privacy per consentire agli utenti di controllare i propri dati" e "Tor come strumento di comunicazione per dare agli utenti la libertร di scegliere quali siti visitare" รจ un ottimo esempio di la diversitร degli usi di TorQualunque cosa tu pensi a cosa serve Tor, ti garantisco che c'รจ una persona che lo usa per qualcosa che non hai considerato.
Parte seconda: siamo felici di vedere un'adozione piรน ampia di servizi nascosti
Penso che sia fantastico per Tor che Facebook abbia aggiunto un indirizzo .onion. Ci sono alcuni casi d'uso convincenti per i servizi nascosti: ad esempio quelli descritti in ยซusare i servizi nascosti di Tor per sempreยซCosรฌ come i prossimi strumenti di chat decentralizzati come Ricochet in cui ogni utente รจ un servizio nascosto, quindi non c'รจ un punto centrale da spiare per salvare i dati. Ma non abbiamo pubblicizzato molto questi esempi, specialmente rispetto alla pubblicitร che gli esempi "Ho un sito web che il governo vuole chiudere" hanno avuto negli ultimi anni.
I servizi nascosti forniscono una varietร di utili proprietร di sicurezza. Il primo - e quello che piรน pensa - perchรฉ il design usa Circuiti Tor, รจ difficile scoprire dove si trova il servizio nel mondo. Ma il secondo, perchรฉ l'indirizzo di un servizio รจ l'hash della tua chiave, si autenticano: se digitano un dato indirizzo .onion, il tuo client Tor garantisce che sta effettivamente parlando al servizio che conosce la chiave privata che corrisponde all'indirizzo. Una buona terza caratteristica รจ che il processo rendezvous fornisce la crittografia end-to-end, anche quando il traffico a livello di applicazione non รจ crittografato.
Quindi sono entusiasta che questa mossa di Facebook aiuterร a continuare ad aprire le menti delle persone sul motivo per cui vorrebbero offrire un servizio nascosto e aiutare gli altri a pensare a nuovi usi per i servizi nascosti.
Un'altra buona implicazione qui รจ che Facebook si sta impegnando a prendere sul serio i suoi utenti Tor. Centinaia di migliaia di persone usano con successo Facebook su Tor da anni, ma nell'era odierna di servizi come Wikipedia che scelgono di non accettare contributi da utenti attenti alla privacyร rinfrescante e incoraggiante vedere un grande sito Web decidere che va bene per i suoi utenti desiderare una maggiore sicurezza fisica.
Come aggiunta a questo ottimismo, sarebbe triste se Facebook aggiungesse un servizio nascosto, avesse un problema con i troll e decidesse che dovrebbero impedire agli utenti Tor di utilizzare il loro vecchio indirizzo. https://www.facebook.com/. Quindi dovremmo essere vigili nell'aiutare Facebook a continuare a consentire agli utenti Tor di accedervi tramite qualsiasi indirizzo.
Parte terza: il tuo vanitoso indirizzo non significa che il mondo sia finito
Il nome del tuo servizio nascosto รจ "facebookcorewwwi.onion". Per essere l'hash di una chiave pubblica, di certo non sembra casuale. Molte persone si chiedevano come avrebbero potuto fare forza bruta sull'intero nome.
La risposta breve รจ che per la prima metร ("facebook"), che รจ di soli 40 bit, hanno generato le chiavi piรน e piรน volte fino a ottenere alcune i cui primi 40 bit dell'hash corrispondevano alla stringa che volevano.
Poi avevano dei tasti i cui nomi cominciavano con "facebook", e guardavano nella seconda metร di ciascuno per scegliere quelli con sillabe pronunciate e quindi memorabili. Quello con il "corewwwi" sembrava loro il migliore, nel senso che potevano venire con un file storia sul motivo per cui รจ un nome ragionevole da usare per Facebook - e sono andati per lei.
Quindi, per chiarire, non sarebbero in grado di produrre di nuovo esattamente questo nome se lo volessero. Potrebbero produrre altri hash che iniziano con "facebook" e finiscono con sillabe pronunciabili, ma non รจ una forza bruta sull'intero nome del servizio nascosto (tutti gli 80 bit). Per coloro che vogliono approfondire la matematica, leggi il ยซattacco di compleannoยซ. E per coloro che vogliono imparare (per favore aiutatemi!) Sui miglioramenti che vorremmo apportare ai servizi nascosti, comprese password e nomi piรน forti, vedere ยซi servizi nascosti hanno bisogno di affetto"e la proposta Tor 224.
Parte quattro: cosa pensiamo di un certificato https per un indirizzo .onion?
Facebook non ha solo creato un servizio nascosto. Hanno anche ottenuto un certificato https per il loro servizio nascosto, ed รจ firmato da Digicert in modo che i loro browser lo accetteranno. Questa decisione ha prodotto alcuni discussioni animate nella comunitร CA / Browser, che decide che tipo di nomi possono avere certificati ufficiali. La discussione รจ ancora in corso, ma queste sono le mie prime opinioni al riguardo.
Per: Noi, la comunitร della sicurezza in Internet, insegniamo alle persone che https รจ necessario e che http fa paura. Quindi ha senso che gli utenti vogliano vedere la stringa "https" in primo piano.
Contro: La stretta di mano .onion dร praticamente tutto questo gratuitamente, quindi incoraggiando le persone a pagare Digicert stiamo rafforzando il modello di business della certificazione quando forse dovremmo continuare a dimostrare un'alternativa.
A favore: https effettivamente offre un po 'di piรน, nel caso in cui il servizio (la server farm di Facebook) non sia nello stesso posto del programma Tor. Ricorda che non รจ un requisito che il server web e il processo Tor siano sulla stessa macchina, e in una configurazione complicata come Facebook probabilmente non dovrebbero esserlo. Si potrebbe sostenere che quest'ultimo miglio sia all'interno della rete aziendale, quindi chi se ne frega se non รจ crittografato, ma penso che la frase "SSL aggiunto e rimosso lรฌ" metterร fine a questo argomento.
Contro: se un sito ottiene un certificato, rafforzerร ulteriormente per gli utenti che รจ "necessario" e quindi gli utenti inizieranno a chiedere ad altri siti perchรฉ non ne hanno uno. Temo che stia iniziando una moda in cui devi pagare i soldi di Digicert per avere un servizio nascosto o non penseranno che sia sospetto, soprattutto perchรฉ i servizi nascosti che apprezzano il loro anonimato avrebbero difficoltร ad avere un certificato.
Un'alternativa sarebbe dire a Tor Browser che gli indirizzi .onion con https non meritano un allarme pop-up spaventoso. Un approccio piรน meticoloso in quella direzione รจ avere un modo per un servizio nascosto di generare il proprio certificato https firmato con la sua chiave privata onion, e dire a Tor Browser come verificarli - fondamentalmente una CA decentralizzata per indirizzi .onion, dato che lo sono autenticatori. Quindi non avrebbero bisogno di passare attraverso l'assurditร di fingere di vedere se sono in grado di leggere le e-mail sul dominio e in generale di promuovere l'attuale modello di CA.
Potremmo anche immaginare un modello di nomi di animali domestici dove l'utente puรฒ dire al proprio Tor Browser che questo indirizzo .onion "รจ" Facebook. Oppure l'approccio piรน semplice sarebbe portare un elenco di segnalibri di servizi nascosti "noti" nel browser Tor - come la nostra CA, utilizzando il vecchio modello / etc / hosts. Questo approccio solleverebbe la questione politica di quali siti dovremmo supportare.
Quindi non ho ancora deciso quale direzione penso debba prendere questa discussione. Sono solidale con il "insegniamo agli utenti a controllare https, quindi non confondiamoli", ma sono anche preoccupato per la situazione scivolosa in cui ottenere una certificazione diventa un passaggio obbligato per avere un servizio affidabile. Facci sapere se hai altri argomenti convincenti a favore o contro.
Parte quinta: cosa resta da fare?
In termini di design e sicurezza, i servizi nascosti hanno ancora bisogno di affetto. Abbiamo piani per progetti migliorati (vedi la proposta Tor 224) ma non abbiamo fondi o sviluppatori sufficienti per farlo accadere. Questa settimana stavamo parlando con alcuni ingegneri di Facebook dell'affidabilitร e della scalabilitร del servizio nascosto e siamo entusiasti che Facebook stia valutando la possibilitร di impegnarsi nello sviluppo per migliorare i servizi nascosti.
E infine, parlando di insegnare alle persone le funzionalitร di sicurezza dei siti .onion, mi chiedo se "servizi nascosti" non sia piรน la frase migliore qui. Inizialmente li chiamavamo "servizi di localizzazione nascosti", che รจ stato rapidamente abbreviato in "servizi nascosti". Ma proteggere la posizione del servizio รจ solo una delle funzionalitร di sicurezza che hanno. Forse dovremmo organizzare un concorso per estrarre un nuovo nome per quei servizi protetti? Anche qualcosa come i "servizi onion" possono essere migliori se costringono le persone a imparare cosa sono.
Congratulazioni per un ottimo articolo specialmente per quelli di noi nel mondo degli yupi su questo Internet
ร semplicissimo. Se accedi con un account gmail o facebook o con una delle societร citate da Snowden, perdi l'anonimato.
ร come se qualcuno usasse TAIS e accedesse a gmail fingendo di essere anonimo, l'unica cosa che farร รจ sollevare sospetti e indicare il proprio nome utente.
Come la lettura non fa per te, eh?
Quasi tutti parlano di Tor ma non ho visto i2p menzionato qui, se vuoi darci la tua opinione in merito.
โฆ Oppure รจ una dolce trappola scoprire quale utente Tor si connette prima a Facebook e successivamente ad un altro servizio privato o sicuro, in modo che i dati possano essere incrociati e identificati.
Io su Facebook o in foto, grazie. ร morto. Preferisco la Diaspora milioni di volte. Nemmeno la censura.
Ma รจ che sono ingenui, sia TOR che Facebook sono finanziati dalle stesse persone, o รจ che pensano che TOR investe per l'anonimato degli ingenui che non si rendono conto di dove sia il business.
Sono la faccia della stessa medaglia ... vogliono sicurezza? beh, non รจ qui che vanno i colpi.
La sicurezza sarร data da un profilo falso, un profilo perfettamente pensato e credibile, ma falso e usando sempre lo stesso, รจ la cosa peggiore che puรฒ accadere alla NSA oa chiunque altro, se si inventa un profilo e ci crede .
Dirรฒ solo che non penso che tu abbia capito bene TOR.
Dirรฒ solo che in qualsiasi sistema che necessita di un server intermedio, รจ possibile acquistare con dollari dai proprietari di quel server.
Il modo migliore รจ dare loro quello che vogliono senza nascondere nulla, ma darglielo con un profilo falso e loro ci credono.
L'unica cosa che preoccupa Facebook รจ la perdita di clienti a causa della censura di alcuni paesi, ci sono anche alternative migliori per esempio torbook, diaspora, ecc.
e che dire di questo qui
http://www.opennicproject.org/
Interessante, in quanto si inserisce facilmente nella filosofia del movimento Freenet.
Lo uso da molto tempo. Va bene. Il tuo ISP non sa quali pagine web vedi. I proprietari di quei server non conservano i loro log, quindi non lo sanno neanche loro. Ti porta molto vicino alla privacy desiderata.
Non funziona piรน?
Per me รจ ancora sciocco usare TOR per connettersi a Facebook,โฆ cosa sei stato censurato nel tuo paese? ecco a cosa servono i proxy. Tor รจ una rete per l'anonimato per non pubblicare cose con il tuo nome, l'unica cosa che otterrai รจ che i tracker di Facebook tracciano tutti i siti .onion che visiti.