टीओआर वर फेसबुक. एक स्पष्टीकरण आहे.

आज फेसबुक उघडकीस आली त्याची लपलेली सेवा जे वापरकर्त्यांना आपल्या वेबसाइटवर अधिक काळजीपूर्वक प्रवेश करू देते. वापरकर्त्यांनी आणि पत्रकारांनी आमची उत्तरे विचारली आहेत; आमचे मत समजून घेण्यात मदत करण्यासाठी येथे काही मुद्दे आहेत.

पहिला भाग: होय, टॉरवर फेसबुक भेट देणे विरोधाभास नाही

मी हा विभाग समाविष्ट करावा याची मला कल्पना नव्हती, आजपर्यंत मी एका पत्रकाराकडून ऐकले जे टोर वापरकर्त्यांनो फेसबुक देखील का वापरणार नाहीत याबद्दल माझ्याकडून काही उद्धृत केले जाण्याची आशा बाळगून होते. फेसबुकच्या प्रायव्हसी सवयी, त्यांची हानिकारक वास्तविक-नावे धोरणे आणि त्यांनी आपल्याबद्दल आपल्याला काही सांगावे की नाही याविषयी (अद्याप खूप महत्वाचे) प्रश्न बाजूला ठेवणे, येथे महत्त्वाचे आहे. निनावीपणा केवळ आपल्या गंतव्यस्थानापासून लपवत नाही.

आपण फेसबुकला कधी भेट देत असाल तर आपल्या ISP ला कळवण्याचे काही कारण नाही. फेसबुकचे अपस्ट्रीम आयएसपी किंवा इंटरनेटवर नजर ठेवणारी कोणतीही एजन्सी जेव्हा ते फेसबुक भेट देत आहेत किंवा नाही तेव्हा हे जाणून घेण्याचे कोणतेही कारण नाही. आणि आपण फेसबुकला आपल्याबद्दल काही सांगणे निवडल्यास, असे करत असताना आपण ज्या शहरात आहात त्या शहरास आपोआप शोधू देण्याचे कोणतेही कारण नाही.

तसेच, आपण हे लक्षात ठेवले पाहिजे की काही ठिकाणी फेसबुकवर प्रवेश करणे शक्य नाही. मी काही काळापूर्वी फेसबुकवरील सुरक्षिततेच्या एखाद्याशी बोललो ज्याने मला एक मजेशीर कथा सांगितली. तो जेव्हा टॉरला पहिल्यांदा भेटला, तेव्हा त्याला त्याचा तिटकारा वाटला आणि त्याबद्दल घाबरायला लागला कारण त्याच्या वापरकर्त्यांविषयी सर्व काही शिकण्याचे व्यावसायिक मॉडेल खराब करण्याचा त्यांचा हेतू "स्पष्टपणे" होता. मग अचानक इराणने फेसबुकला ब्लॉक केले, फेसबुकवरील पर्शियन लोकसंख्येचा एक चांगला हिस्सा तोरमार्गे फेसबुकवर पोहोचला आणि तो टॉरचा चाहता झाला कारण अन्यथा त्या वापरकर्त्यांना हॅक केले गेले असते. त्यानंतर चीनसारख्या इतर देशांनीही अशाच पद्धतीचा अवलंब केला. "टॉरला गोपनीयता डेटा म्हणून वापरल्या गेलेल्या वापरकर्त्यांना स्वत: चा डेटा नियंत्रित करण्याची परवानगी" आणि "Tor यांना संप्रेषण साधन म्हणून वापरकर्त्यांना कोणत्या साइटला भेट द्यायची ते निवडण्याचे स्वातंत्र्य" यामधील फरक हे त्याचे एक उदाहरण आहे. टोर वापरते विविधताटॉर कशासाठी आहे याबद्दल आपण जे काही विचार करता, मी याची खात्री देतो की अशी एखादी व्यक्ती आहे जी आपण त्यास न विचारलेल्या गोष्टींसाठी वापरते.

भाग दोन: लपविलेल्या सेवांचा व्यापकपणे स्वीकार करताना आम्हाला आनंद झाला

मला वाटतं ते टॉरसाठी छान आहे की फेसबुकने एक .onion पत्ता जोडला. लपलेल्या सेवांसाठी काही सक्तीचा वापर प्रकरणे आहेतः उदाहरणार्थ «चांगल्यासाठी टॉरच्या लपविलेल्या सेवा वापरणेRic तसेच आगामी विकेंद्रीकृत गप्पा साधने जसे रिकोशेट जेथे प्रत्येक वापरकर्ता लपलेली सेवा आहे, म्हणून डेटा जतन करण्यासाठी हेरगिरी करण्याचा कोणताही केंद्रीय मुद्दा नाही. परंतु आम्ही ही उदाहरणे फारशी प्रसिद्ध केली नाहीत, विशेषत: अलीकडील काही वर्षांत “माझ्याकडे एक वेबसाइट आहे जी सरकारला बंद करायची आहे” अशी प्रसिद्धी दिली गेली.

लपलेल्या सेवा ते विविध उपयुक्त सुरक्षा गुणधर्म प्रदान करतात. प्रथम - आणि एक सर्वाधिक विचार करणारा - कारण डिझाइन वापरतो टॉर सर्किट्स, जगात सेवा कोठे आहे हे शोधणे कठीण आहे. पण दुसरा, कारण सेवेचा पत्ता आहे आपल्या की चा हॅश, ते स्वत: ची प्रमाणीकरण करीत आहेतः जर त्यांनी दिलेल्या .onion पत्ता टाइप केला तर आपला टॉर क्लायंट हमी देतो की तो त्या पत्त्याशी संबंधित खासगी की माहित असलेल्या सेवेत बोलत आहे. एक छान तिसरी वैशिष्ट्य म्हणजे अनुप्रयोग-स्तरीय रहदारी अनएनक्रिप्टेड नसतानाही, प्रस्तुत प्रक्रिया अंत-टू-एंड एनक्रिप्शन प्रदान करते.

म्हणून मी उत्सुक आहे की हे फेसबुक हलवून लोकांना लपवून ठेवलेली सेवा का देऊ इच्छिते हे लोकांचे मने उघडण्यात मदत करेल आणि लपलेल्या सेवांसाठी आणखी नवीन वापराबद्दल विचार करण्यास इतरांना मदत होईल.

येथे आणखी एक चांगला अर्थ असा आहे की फेसबुक आपल्या टॉर वापरकर्त्यांना गंभीरपणे घेण्याचे वचनबद्ध आहे. टोर वर लाखो लोक बर्‍याच वर्षांपासून यशस्वीरित्या फेसबुक वापरत आहेत, परंतु विकिपीडियासारख्या सेवांच्या आजच्या युगात जे गोपनीयतेची काळजी घेतात अशा वापरकर्त्यांचे योगदान स्वीकारू नकाआपल्या वापरकर्त्यांसाठी अधिक शारीरिक सुरक्षा हवी आहे हे ठीक आहे हे ठरविणारी मोठी वेबसाइट पाहणे हे रीफ्रेश करणारी आणि प्रोत्साहित करणारी आहे.

त्या आशावादाचा परिशिष्ट म्हणून, फेसबुकने एखादी छुपी सेवा जोडल्यास, ट्रॉल्समध्ये समस्या उद्भवल्यास हे वाईट होईल आणि त्यांनी टॉर वापरकर्त्यांना त्यांचे जुने पत्ता वापरण्यापासून रोखू नये असा निर्णय घेतला. https://www.facebook.com/. तर टोर वापरकर्त्यांना कोणत्याही पत्त्याद्वारे त्यांच्यात प्रवेश करण्याची परवानगी फेसबुकला देण्यात मदत करण्यास आम्ही सतर्क असले पाहिजे.

भाग तीन: आपल्या व्यर्थ पत्त्याचा अर्थ असा नाही की जग संपले आहे

आपल्या Facebook च्या सेवेचे नाव आहे "facebookcorewwwi.onion". सार्वजनिक की ची हॅश असल्याने, हे यादृच्छिक दिसत नाही याची खात्री आहे. बरेच लोक ते कसे करतात हे विचारत होते क्रूर शक्ती संपूर्ण नावावर

थोडक्यात उत्तर असे आहे की पहिल्या अर्ध्यासाठी ("फेसबुक"), जे फक्त 40 बिट्स आहेत, त्यांनी पुन्हा पुन्हा कळा तयार केल्या ज्यापर्यंत त्यांना हशच्या पहिल्या 40 बिट्सला पाहिजे असलेल्या तारांची जुळणी मिळत नाही.

मग त्यांच्याकडे काही कळा होत्या ज्यांची नावे "फेसबुक" ने सुरू झाली आणि त्यांनी उच्चारलेल्या आणि म्हणून संस्मरणीय अक्षरे असलेल्या प्रत्येकाची निवड करण्यासाठी प्रत्येकाच्या दुसर्‍या अर्ध्या भागाकडे पाहिले. "कोर्ववी" त्यांना सर्वात चांगला वाटला - म्हणजे ते ए सह येऊ शकतात कथा फेसबुक वापरण्यासाठी हे वाजवी नाव का आहे यावर - आणि ते तिच्यासाठी गेले.

तर हे स्पष्ट करण्यासाठी, त्यांना हवे असल्यास हे नाव पुन्हा तयार करणे त्यांना शक्य होणार नाही. ते "फेसबुक" सह प्रारंभ होणारी आणि उच्चारात्मक अक्षरे सह समाप्त होणारी अन्य हॅश तयार करू शकतील परंतु संपूर्ण छुपे सेवा नावावर (सर्व 80 बिट्स) निर्बल शक्ती नाही. ज्यांना पुढील गणित एक्सप्लोर करायची आहे त्यांच्यासाठी readवाढदिवस हल्ला«. आणि आपल्यापैकी जे जाणून घेऊ इच्छित आहेत (कृपया मदत करा!) आम्ही मजबूत संकेतशब्द आणि नावांसह लपलेल्या सेवांमध्ये इच्छित असलेल्या सुधारणेबद्दल, seeलपलेल्या सेवांना स्नेह आवश्यक आहे"आणि टोर 224 प्रस्ताव.

भाग चार: .onion पत्त्याच्या https प्रमाणपत्रबद्दल आम्ही काय विचार करतो?

फेसबुकने फक्त लपलेली सेवा दिली नाही. त्यांच्या लपवलेल्या सेवेसाठी त्यांना एक https प्रमाणपत्र देखील प्राप्त झाले आहे आणि हे डिजीकर्ट यांनी स्वाक्षरीकृत केले आहे जेणेकरून त्यांचे ब्राउझर ते स्वीकारतील. या निर्णयामुळे काहींची निर्मिती झाली उत्साही चर्चा सीए / ब्राउझर समुदायामध्ये, कोणत्या प्रकारच्या नावे अधिकृत प्रमाणपत्र असू शकतात हे ठरवते. ती चर्चा अद्याप सुरू आहे, परंतु यावर माझे प्रारंभिक दृश्ये आहेत.

यासाठीः आम्ही, इंटरनेट सुरक्षा समुदाय, लोकांना हे शिकवितो की https आवश्यक आहेत आणि ते HTTP भितीदायक आहे. तर याचा अर्थ असा होतो की वापरकर्त्यांना "https" ची स्ट्रिंग समोर दिसते आहे.

कॉन: .ओनिओन हँडशेक मुळात ते सर्व विनामूल्य देते, म्हणून लोकांना डिजीकार्ट देण्यास प्रोत्साहित करून आम्ही एखादे पर्यायी प्रदर्शन करणे चालू ठेवू तेव्हा आम्ही प्रमाणपत्र व्यवसाय मॉडेलला अधिक मजबुती देत ​​आहोत.

पक्षात: https टोर प्रोग्राम प्रमाणेच सर्व्हिस (फेसबुक सर्व्हर फार्म) त्याच ठिकाणी नसल्यास अशा परिस्थितीत थोडे अधिक ऑफर करते. लक्षात ठेवा की वेब सर्व्हर आणि टॉर प्रक्रिया समान मशीनवर असणे आवश्यक नाही आणि फेसबुकसारख्या क्लिष्ट कॉन्फिगरेशनमध्ये ते कदाचित नसावेत. एक असा तर्क करू शकतो की हे शेवटचे मैल आपल्या कॉर्पोरेट नेटवर्कमध्ये आहे, म्हणूनच ते एन्क्रिप्टेड नसल्यास कोण काळजी घेतो, परंतु मला असे वाटते की "एसएसएल जोडलेले आणि तेथे काढले गेले आहे" या वाक्यांशामुळे हा युक्तिवाद संपेल.

बाधकः एखाद्या साइटला प्रमाणपत्र मिळाल्यास ते वापरकर्त्यास आवश्यक आहे की ते "आवश्यक" आहे आणि ते पुन्हा ते आपल्याकडे नसलेले साइट इतरांना विचारण्यास सुरूवात करतील. मला काळजी वाटते की एखादी लहर सुरू होईल जिथे आपणास छुपी सेवा मिळण्यासाठी आपल्याला डिजीकार्ट पैसे भरण्याची आवश्यकता आहे किंवा त्यांना ते संशयास्पद वाटणार नाही - विशेषत: छुप्या सेवा ज्या त्यांच्या नावे ठेवण्यास महत्त्व देतात त्यांना प्रमाणपत्र असण्यास कठीण वेळ लागेल.

टोर ब्राउझरला सांगणे हा पर्याय आहे की. Https सह .onion पत्ते धडकी भरवणार्‍या पॉप-अप चेतावणीस पात्र नाहीत. त्या दिशेने अधिक सूक्ष्म दृष्टिकोन म्हणजे त्याच्या कांद्याच्या खासगी कीवर स्वाक्षरी केलेले स्वत: चे https प्रमाणपत्र तयार करण्यासाठी लपलेल्या सेवेसाठी एक मार्ग असणे आणि टॉर ब्राउझरला ते कसे सत्यापित करावे हे सांगा - मुळात .onion पत्त्यांसाठी विकेंद्रित सीए ते असल्याने स्वयंचलितरक मग ते डोमेनवर ईमेल वाचू शकतात किंवा सामान्यत: सध्याच्या सीए मॉडेलची जाहिरात करतात की नाही हे ढोंग करण्याच्या मूर्खपणाच्या गोष्टी करण्याची त्यांना आवश्यकता नाही.

च्या मॉडेलची आपण कल्पनाही करू शकलो पाळीव प्राणी नावे जिथे वापरकर्ता त्यांच्या टॉर ब्राउझरला सांगू शकतो की हा .onion पत्ता "फेसबुक आहे. किंवा अधिक थेट दृष्टीकोन म्हणजे टॉर ब्राउझरमध्ये "ज्ञात" लपलेल्या सर्व्हिस बुकमार्कची यादी आणणे - जसे की स्वतःचे सीए, जुने / इत्यादी / होस्ट मॉडेल वापरुन. आम्ही कोणत्या साइटना समर्थन द्यायचे याचा राजकीय प्रश्न हा दृष्टिकोन उभा करेल.

म्हणून ही चर्चा कोणत्या दिशेने घ्यावी लागेल याबद्दल मी अद्याप निर्णय घेतलेले नाही. मी "आम्ही वापरकर्त्यांना https तपासण्यास शिकवितो, म्हणून त्यांना गोंधळ करू नये", असे मी समर्थन देतो, परंतु मला त्या निसरड्या परिस्थितीबद्दल देखील चिंता वाटते जिथे प्रमाणपत्र घेणे प्रतिष्ठित सेवा मिळविण्यासाठी आवश्यक पाऊल बनते. आपल्यास विरोधात किंवा विरोधात इतर कोणतेही आकर्षक युक्तिवाद असल्यास आम्हाला कळवा.

भाग पाच: काय करायचे आहे?

डिझाइन आणि सुरक्षितता या दोन्ही बाबतीत, लपलेल्या सेवांना अद्याप स्नेह आवश्यक आहे. आमच्याकडे सुधारित डिझाइनची योजना आहे (पहा टोर 224 प्रस्ताव) परंतु तसे करण्यासाठी आमच्याकडे पुरेसा निधी किंवा विकसक नाही. आम्ही या आठवड्यात काही फेसबुक अभियंत्यांशी लपलेल्या सेवेची विश्वासार्हता आणि स्केलेबिलिटीबद्दल बोलत होतो आणि आम्ही उत्साहित आहोत की फेसबुक लपलेल्या सेवा सुधारण्यात मदत करण्यासाठी विकासाच्या प्रयत्नांवर विचार करीत आहे.

आणि शेवटी, लोकांना .onion साइटच्या सुरक्षितता वैशिष्ट्यांविषयी शिकवण्याबद्दल बोलताना, मला आश्चर्य वाटते की "लपविलेले सेवा" यापुढे येथे उत्कृष्ट वाक्यांश नाही. आम्ही त्यांना मूळतः "लपविलेले स्थान सेवा" असे म्हटले होते, जे फक्त "लपविलेल्या सेवा" वर लवकरच द्रुत केले गेले. परंतु सेवेचे स्थान संरक्षित करणे त्यांच्याकडे असलेल्या सुरक्षा वैशिष्ट्यांपैकी एक आहे. कदाचित आमच्याकडे त्या संरक्षित सेवांसाठी नवीन नाव घोषित करण्याची स्पर्धा असावी? "कांदा सेवा" सारखं काहीतरी चांगलं होऊ शकेल जर त्यांनी लोकांना ते काय आहे हे शिकण्यास भाग पाडले.