היום פייסבוק חשפה השירות הנסתר שלו המאפשר למשתמשים לגשת לאתר שלך בזהירות רבה יותר. משתמשים ועיתונאים ביקשו מאיתנו את תשובותינו; להלן מספר נקודות שיעזרו לך להבין את דעתנו.
חלק ראשון: כן, ביקור בפייסבוק בטור אינו סתירה
לא הבנתי שעלי לכלול את החלק הזה, עד היום שמעתי מעיתונאי שקיווה לקבל ממני הצעת מחיר מדוע משתמשי טור אפילו לא ישתמשו בפייסבוק. אם לא משאירים את השאלות (עדיין חשובות מאוד) לגבי הרגלי הפרטיות של פייסבוק, מדיניות השמות האמיתיים המזיקים שלהם, והאם הם צריכים לספר לכם משהו עליכם או לא, המפתח כאן הוא אנונימיות אינה מסתתרת רק מהיעדים שלך.
אין שום סיבה להודיע לספק האינטרנט שלך מתי או אם הם מבקרים בפייסבוק. אין שום סיבה שספק האינטרנט המעלה של פייסבוק, או כל סוכנות שעוקבת אחר האינטרנט, יידעו מתי או אם הם מבקרים בפייסבוק. ואם תבחר לספר משהו לפייסבוק עליך, עדיין אין שום סיבה לתת להם לגלות באופן אוטומטי את העיר בה אתה נמצא תוך כדי.
כמו כן, עלינו לזכור שיש כמה מקומות שלא ניתן לגשת אליהם לפייסבוק. שוחחתי עם מישהו מאבטחה בפייסבוק לפני זמן מה שסיפר לי סיפור מצחיק. כשפגש את טור לראשונה, הוא שנא וחשש מכך מכיוון שהוא "בבירור" התכוון לערער את המודל העסקי שלהם ללמוד הכל על המשתמשים שלהם. ואז פתאום איראן חוסמת את פייסבוק, חלק נכבד מהאוכלוסייה הפרסית בפייסבוק עברה לגשת לפייסבוק דרך טור, והוא הפך למעריץ של טור כי אחרת המשתמשים האלה היו נפרצים. מדינות אחרות כמו סין עקבו אחר דפוס דומה לאחר מכן. שינוי זה במוחו בין "Tor ככלי פרטיות המאפשר למשתמשים לשלוט בנתונים שלהם" לבין "Tor ככלי תקשורת כדי לתת למשתמשים את החופש לבחור באילו אתרים לבקר" הוא דוגמה מצוינת ל המגוון של השימושים של טורלא משנה מה אתה חושב על מה Tor מיועד, אני מבטיח שיש אדם שמשתמש בו למשהו שלא שקלת.
חלק שני: אנו שמחים לראות אימוץ רחב יותר של שירותים נסתרים
אני חושב שזה נהדר עבור טור שפייסבוק הוסיפה כתובת .ionion. ישנם מקרי שימוש משכנעים עבור שירותים נסתרים: למשל אלה המתוארים בסעיף «באמצעות השירותים הנסתרים של טור לתמיד«, כמו גם כלי הצ'אט המבוזרים הקרובים כמו ריקושט שבהם כל משתמש הוא שירות נסתר, כך שאין שום נקודה מרכזית לרגל כדי לשמור נתונים. אך לא פרסמנו הרבה דוגמאות אלה, במיוחד בהשוואה לפרסום שהיו לדוגמאות "יש לי אתר שהממשלה רוצה לסגור" בשנים האחרונות.
שירותים נסתרים הם מספקים מגוון מאפייני אבטחה שימושיים. הראשון - והכי חושב - כי השימושים בעיצוב מעגלי טור, קשה לגלות היכן השירות נמצא בעולם. אבל השני, כי הכתובת של שירות היא את החשיש של המפתח שלך, הם מאמתים על עצמם: אם הם מקלידים כתובת .onion נתונה, לקוח Tor שלך מבטיח שהוא אכן מדבר עם השירות שמכיר את המפתח הפרטי שמתאים לכתובת. מאפיין שלישי נחמד הוא שתהליך המפגש מספק הצפנה מקצה לקצה, גם כאשר התנועה ברמת היישום אינה מוצפנת.
לכן אני נרגש שהמהלך הזה בפייסבוק יעזור להמשיך ולפתוח את דעתם של אנשים מדוע הם רוצים להציע שירות נסתר, ולעזור לאחרים לחשוב על עוד שימושים חדשים עבור השירותים הנסתרים.
השלכה טובה נוספת כאן היא שפייסבוק מתחייבת לקחת את משתמשי Tor ברצינות. מאות אלפי אנשים משתמשים בהצלחה בפייסבוק ב- Tor כבר שנים, אבל בעידן של ימינו כמו שירותים כמו ויקיפדיה שבוחרים שלא לקבל תרומות ממשתמשים שדואגים לפרטיותזה מרענן ומעודד לראות אתר גדול שמחליט שזה בסדר שהמשתמשים שלו רוצים יותר אבטחה פיזית.
כתוספת לאופטימיות זו, זה יהיה עצוב אם פייסבוק תוסיף שירות נסתר, תיתקל בבעיה בטרולים ותחליט שעליהם למנוע ממשתמשי Tor להשתמש בכתובתם הישנה. https://www.facebook.com/. אז עלינו להיות ערניים לעזור לפייסבוק להמשיך לאפשר למשתמשי Tor לגשת אליהם דרך כל כתובת.
חלק שלישי: כתובת השווא שלך לא אומרת שהעולם נגמר
שם השירות הנסתר שלך הוא "facebookcorewwwi.onion". כדי להיות חשיש של מפתח ציבורי, זה בטוח לא נראה אקראי. אנשים רבים שאלו כיצד הם יכולים לעשות כוח ברוט מעל השם כולו.
התשובה הקצרה היא שבמחצית הראשונה ("פייסבוק"), שהיא 40 ביט בלבד, הם יצרו מפתחות שוב ושוב עד שקיבלו כאלו ש 40 הביטים הראשונים של החשיש תואמים את המחרוזת שרצו.
ואז היו להם כמה מפתחות ששמם התחיל ב"פייסבוק ", והם בחנו את המחצית השנייה של כל אחד מהם כדי לבחור את אלה עם הברות בולטות ולכן בלתי נשכחות. אחד "corewwwi" נראה להם הכי טוב - כלומר הם יכולים לבוא עם היסטוריה על למה זה שם סביר לשימוש בפייסבוק - והם הלכו אחריה.
אז כדי להבהיר, הם לא יוכלו לייצר את השם הזה בדיוק אם הם רוצים. הם יכולים לייצר חשיפות אחרות שמתחילות ב"פייסבוק "ומסתיימות בהברות בולטות, אבל זה לא כוח אכזרי על כל שם השירות הנסתר (כל 80 הסיביות). למי שרוצה לחקור את המתמטיקה הלאה, קרא על «התקפת יום הולדת«. ולמי שרוצה ללמוד (אנא עזרו!) על השיפורים שנרצה לבצע בשירותים הנסתרים, כולל סיסמאות ושמות חזקים יותר, ראו «שירותים נסתרים זקוקים לחיבה"ו הצעת טור 224.
חלק רביעי: מה אנו חושבים על אישור https לכתובת .ionion?
פייסבוק לא רק הציבה שירות נסתר. הם קיבלו גם אישור https עבור השירות הנסתר שלהם, והוא חתום על ידי Digicert כך שהדפדפנים שלהם יקבלו זאת. החלטה זו הניבה כמה דיונים נמרצים בקהילת CA / Browser, המחליטה איזה סוג של שמות יכולים להיות בעלי תעודות רשמיות. הדיון ההוא עדיין בעיצומו, אך אלה עמדותיי המוקדמות בנושא.
בשביל: אנחנו, קהילת אבטחת האינטרנט, מלמדים אנשים ש- https היא הכרחית וש- http מפחיד. אז הגיוני שמשתמשים רוצים לראות את המחרוזת "https" מלפנים.
חסרון: לחיצת היד של .onion בעצם נותנת את כל זה בחינם, ולכן על ידי עידוד אנשים לשלם ל- Digicert אנו מחזקים את המודל העסקי של ההסמכה כאשר אולי עלינו להמשיך ולהדגים חלופה.
בעד: אכן https מציעה קצת יותר, במקרה שהשירות (חוות השרתים של פייסבוק) אינו נמצא באותו מקום כמו תוכנית Tor. זכרו שזו לא דרישה ששרת האינטרנט ותהליך Tor יהיו על אותה מכונה, ובצורה מסובכת כמו פייסבוק הם כנראה לא צריכים להיות. אפשר לטעון שהמייל האחרון הזה נמצא בתוך הרשת הארגונית שלך, אז למי אכפת שהוא לא מוצפן, אבל אני חושב שהביטוי "ssl הוסיף והוסר שם" יסיים את הטיעון הזה.
חסרונות: אם אתר מקבל אישור, זה עוד יחזק את המשתמשים שהוא "הכרחי" ואז המשתמשים יתחילו לשאול אתרים אחרים מדוע אין להם כזה. אני דואג שמתחיל אופנת היכן שאתה צריך לשלם כסף ל- Digicert כדי לקבל שירות מוסתר, או שהם לא יחשבו שזה חשוד - במיוחד מכיוון ששירותים מוסתרים שמעריכים את האנונימיות שלהם יתקשו לקבל תעודה.
חלופה תהיה לומר לדפדפן Tor כי כתובות .ionion עם https אינן ראויות לאזהרה מוקפצת מפחידה. גישה מוקפדת יותר בכיוון זה היא שיש דרך לשירות נסתר לייצר אישור https משלו חתום עם המפתח הפרטי של הבצל שלו, ולהגיד לדפדפן Tor כיצד לאמת אותם - בעצם CA מבוזר לכתובות .ionion, מכיוון שהן מאמתים אוטומטיים. אז הם לא יצטרכו לעבור את השטויות של להעמיד פנים שהם יכולים לקרוא אימיילים בתחום, ובדרך כלל לקדם את המודל הנוכחי של CA.
יכולנו לדמיין גם מודל של שמות חיות מחמד שם המשתמש יכול לומר לדפדפן Tor שלו שכתובת .ionion זו "היא" פייסבוק. או שהגישה הפשוטה יותר תהיה להביא רשימה של סימניות שירות מוסתרות "ידועות" לדפדפן Tor - כגון CA שלנו, באמצעות המודל הישן / etc / hosts. גישה זו תעלה את השאלה הפוליטית באילו אתרים עלינו לתמוך.
אז עדיין לא החלטתי באיזה כיוון אני חושב שדיון זה צריך לקחת. אני סולידרית עם ה"אנחנו מלמדים משתמשים לבדוק https, אז בואו לא נבלבל אותם ", אבל אני דואג גם למצב החלקלק שבו קבלת הסמכה הופכת לשלב נדרש כדי לקבל שירות מכובד. ספר לנו אם יש לך טיעונים משכנעים אחרים בעד או נגד.
חלק חמישי: מה נותר לעשות?
מבחינת העיצוב והבטיחות, שירותים נסתרים עדיין זקוקים לחיבה. יש לנו תוכניות לעיצוב משופר (ראה הצעת טור 224) אבל אין לנו מספיק כספים או מפתחים כדי לגרום לזה לקרות. שוחחנו עם כמה מהנדסי פייסבוק על אמינותו ומדרגיותו של השירות הנסתר, ואנו נרגשים מכך שפייסבוק שוקלת להשקיע מאמצי פיתוח בכדי לסייע בשיפור השירותים הנסתרים.
ולבסוף, אם כבר מדברים על לימוד אנשים על תכונות האבטחה של אתרי .ion, אני תוהה אם "שירותים נסתרים" כבר לא הביטוי הטוב ביותר כאן. במקור כינינו אותם "שירותי מיקום מוסתר", שהתקצר במהירות ל"שירותים מוסתרים "בלבד. אך ההגנה על מיקום השירות היא רק אחת מתכונות האבטחה שיש להם. אולי עלינו לערוך תחרות להגרלת שם חדש עבור אותם שירותים מוגנים? אפילו משהו כמו "שירותי בצל" יכול להיות טוב יותר אם הם מכריחים אנשים ללמוד מה הם.
מזל טוב על מאמר נהדר במיוחד לאלו מאיתנו שנמצאים בעולמות יופי באינטרנט זה
זה סופר פשוט. אם אתה נכנס באמצעות חשבון gmail או פייסבוק או כל אחת מהחברות שהזכיר סנודן, אתה מאבד את האנונימיות שלך.
זה כמו מישהו שמשתמש ב- TAIS ונכנס ל- Gmail ומתחזה לאנונימי, הדבר היחיד שהם יעשו הוא להעלות חשד ולציין את שם המשתמש שלו.
כמו שקריאה זה לא הקטע שלך, הא?
כמעט כולם מדברים על טור אבל לא ראיתי את i2p מוזכר כאן, אם בבקשה תתן לנו את דעתך עליו.
... או שמדובר במלכודת מתוקה לגלות איזה משתמש Tor מתחבר לפייסבוק תחילה ולשירות פרטי או מאובטח אחר מאוחר יותר, כדי להצליב את הנתונים ולזהות אותם.
אני בפייסבוק או בתמונה, תודה. הוא עבר. אני מעדיף את התפוצות מיליוני פעמים. גם אין צנזורה.
אבל האם הם נאיביים, גם TOR וגם פייסבוק ממומנים על ידי אותם אנשים, או שמא הם חושבים ש- TOR משקיעה בעד אנונימיותם של התמימים שאינם מבינים היכן העסק נמצא.
הם הפנים של אותו מטבע ... הם רוצים ביטחון? ובכן זה לא המקום שבו היריות עוברות.
אבטחה תינתן על ידי פרופיל כוזב, פרופיל מחושב ואמין לחלוטין, אך שקר ומשתמש תמיד באותו, הוא הדבר הגרוע ביותר שיכול לקרות ל- NSA או למי שזה לא יהיה, אם אתה ממציא פרופיל והם תאמין לזה ...
אני רק אגיד שאני לא חושב שהבנת את TOR היטב.
אני רק אומר שבכל מערכת שזקוקה לשרת ביניים, אפשר לקנות בדולרים מבעלי אותו שרת.
הדרך הטובה ביותר היא לתת להם את מבוקשם מבלי להסתיר דבר, אך לתת להם את זה עם פרופיל מזויף והם מאמינים בכך.
הדבר היחיד שמדאיג את פייסבוק הוא אובדן לקוחות בגלל הצנזורה של כמה מדינות, יש גם אלטרנטיבות טובות יותר למשל torbook, diaspora וכו '.
ומה עם זה כאן
http://www.opennicproject.org/
מעניין, מכיוון שהוא משתלב בקלות בפילוסופיה של תנועת פרינט.
אני משתמש בזה הרבה זמן. זה טוב. ספק האינטרנט שלך לא יודע אילו דפי אינטרנט אתה רואה. הבעלים של השרתים האלה לא שומרים את יומניהם, ולכן גם הם לא יודעים. זה מקרב אותך מאוד לפרטיות הרצויה.
זה כבר לא עובד?
בשבילי זה עדיין טיפשי להשתמש ב- TOR כדי להתחבר לפייסבוק, ... מה צונזר במדינה שלך? לשם כך נועדו פרוקסי. Tor היא רשת לאנונימיות שלא לפרסם דברים עם שמך, הדבר היחיד שתשיג הוא שעוקבי פייסבוק עוקבים אחר כל אתרי ה- .ionion שאתה מבקר בהם.