Hari ini Facebook mendedahkan perkhidmatannya yang tersembunyi yang membolehkan pengguna mengakses laman web anda dengan lebih berhati-hati. Pengguna dan wartawan telah meminta jawapan kami; berikut adalah beberapa perkara untuk membantu anda memahami pendapat kami.
Bahagian pertama: Ya, melayari Facebook di Tor bukanlah percanggahan
Saya tidak menyedari bahawa saya harus memasukkan bahagian ini, sehingga hari ini saya mendengar daripada seorang wartawan yang berharap mendapat petikan dari saya mengenai mengapa pengguna Tor tidak akan menggunakan Facebook. Meninggalkan soalan (masih sangat penting) mengenai tabiat privasi Facebook, dasar nama sebenarnya yang berbahaya, dan sama ada mereka harus memberitahu anda apa-apa tentang anda, kuncinya adalah bahawa anonim tidak hanya menyembunyikan diri dari destinasi anda.
Tidak ada alasan untuk memberitahu ISP anda ketika atau jika mereka mengunjungi Facebook. Tidak ada alasan untuk ISP hulu Facebook, atau mana-mana agensi yang memantau Internet, untuk mengetahui kapan atau jika mereka mengunjungi Facebook. Dan jika anda memilih untuk memberitahu Facebook sesuatu tentang anda, masih belum ada alasan untuk membiarkan mereka secara automatik menjumpai bandar yang anda kunjungi semasa melakukannya.
Kita juga harus ingat bahawa ada beberapa tempat di mana Facebook tidak dapat diakses. Saya bercakap dengan seseorang dari keselamatan di Facebook beberapa waktu lalu yang menceritakan kisah lucu kepada saya. Ketika pertama kali bertemu dengan Tor, dia membencinya dan takut kerana dia "jelas" bermaksud untuk merosakkan model perniagaannya untuk mempelajari segala sesuatu tentang penggunanya. Kemudian tiba-tiba Iran menyekat Facebook, sebilangan besar penduduk Parsi di Facebook beralih untuk mengakses Facebook melalui Tor, dan dia menjadi peminat Tor kerana jika tidak, pengguna tersebut akan diretas. Negara lain seperti China mengikuti corak serupa selepas itu. Perubahan dalam fikirannya antara "Tor sebagai alat privasi untuk membolehkan pengguna mengawal data mereka sendiri" dan "Tor sebagai alat komunikasi untuk memberi kebebasan kepada pengguna untuk memilih laman web mana yang akan dikunjungi" adalah contoh hebat kepelbagaian penggunaan TorApa sahaja yang anda fikirkan tentang apa itu Tor, saya jamin ada orang yang menggunakannya untuk sesuatu yang belum anda fikirkan.
Bahagian kedua: kami gembira melihat penggunaan perkhidmatan tersembunyi yang lebih luas
Saya rasa sangat bagus untuk Tor kerana Facebook menambahkan alamat .onion. Terdapat beberapa kes penggunaan yang menarik untuk perkhidmatan tersembunyi: contohnya yang dijelaskan dalam «menggunakan perkhidmatan tersembunyi Tor untuk selamanya«Serta alat sembang terdesentralisasi yang akan datang seperti Ricochet di mana setiap pengguna adalah perkhidmatan tersembunyi, jadi tidak ada titik pusat untuk mengintip untuk menyimpan data. Tetapi kami belum banyak mempublikasikan contoh-contoh ini, terutama dibandingkan dengan publisiti yang terdapat pada contoh "Saya mempunyai laman web yang ingin ditutup oleh pemerintah" dalam beberapa tahun terakhir.
Perkhidmatan tersembunyi mereka menyediakan pelbagai sifat keselamatan yang berguna. Yang pertama - dan yang paling difikirkan - kerana reka bentuk menggunakan Litar Tor, sukar untuk mengetahui di mana perkhidmatan ini berada di dunia. Tetapi yang kedua, kerana alamat perkhidmatan adalah hash kunci anda, mereka mengesahkan sendiri: jika mereka memasukkan alamat .onion tertentu, pelanggan Tor anda menjamin bahawa ia sebenarnya bercakap dengan perkhidmatan yang mengetahui kunci peribadi yang sesuai dengan alamat. Ciri ketiga yang bagus adalah bahawa proses pertemuan menyediakan enkripsi dari hujung ke hujung, walaupun ketika trafik peringkat aplikasi tidak disulitkan.
Oleh itu, saya gembira kerana langkah Facebook ini dapat membantu terus membuka minda orang mengapa mereka ingin menawarkan perkhidmatan tersembunyi, dan membantu orang lain memikirkan lebih banyak penggunaan baru untuk perkhidmatan tersembunyi itu.
Implikasi lain yang baik di sini adalah bahawa Facebook komited untuk memandang serius pengguna Tornya. Beratus-ratus ribu orang telah berjaya menggunakan Facebook di Tor selama bertahun-tahun, tetapi di zaman perkhidmatan seperti Wikipedia sekarang ini yang memilih untuk tidak menerima sumbangan daripada pengguna yang mementingkan privasiIa menyegarkan dan menggembirakan untuk melihat laman web yang besar memutuskan bahawa tidak mengapa penggunanya mahukan keselamatan lebih fizikal
Sebagai tambahan kepada optimisme itu, akan sangat menyedihkan jika Facebook menambahkan perkhidmatan tersembunyi, menghadapi masalah dengan troll, dan memutuskan bahawa mereka harus menghalang pengguna Tor menggunakan alamat lama mereka. https://www.facebook.com/. Oleh itu, kita harus waspada dalam membantu Facebook terus membenarkan pengguna Tor mengaksesnya melalui alamat apa pun.
Bahagian ketiga: alamat sia-sia anda tidak bermaksud dunia sudah berakhir
Nama perkhidmatan tersembunyi anda adalah "facebookcorewwwi.onion". Kerana menjadi hash kunci awam, ia tidak kelihatan rawak. Ramai orang bertanya bagaimana mereka boleh melakukannya kekerasan atas keseluruhan nama.
Jawapan ringkasnya adalah bahawa untuk babak pertama ("facebook"), yang hanya 40 bit, mereka menghasilkan kunci berulang kali sehingga mereka mendapat beberapa yang 40 bit pertama hash sesuai dengan rentetan yang mereka mahukan.
Kemudian mereka mempunyai beberapa kunci yang namanya dimulakan dengan "facebook", dan mereka melihat separuh kedua masing-masing untuk memilih yang mempunyai suku kata yang diucapkan dan oleh itu tidak dapat dilupakan. Corewwwi nampaknya yang terbaik bagi mereka - yang bermaksud mereka boleh datang dengan Sejarah mengapa nama itu wajar digunakan oleh Facebook - dan mereka pergi untuknya.
Jadi untuk menjelaskan, mereka tidak akan dapat menghasilkan nama ini dengan tepat lagi jika mereka mahu. Mereka dapat menghasilkan hash lain yang dimulai dengan "facebook" dan diakhiri dengan suku kata yang dapat diucapkan, tetapi itu bukan kekuatan kasar pada keseluruhan nama perkhidmatan tersembunyi (semua 80 bit). Bagi mereka yang ingin mendalami matematik lebih lanjut, baca mengenai «serangan ulang tahun«. Dan bagi mereka yang ingin belajar (tolong bantu!) Mengenai penambahbaikan yang ingin kami lakukan pada perkhidmatan tersembunyi, termasuk kata laluan dan nama yang lebih kuat, lihat «perkhidmatan tersembunyi memerlukan kasih sayang"dan cadangan Tor 224.
Bahagian keempat: Apa pendapat kita mengenai sijil https untuk alamat .onion?
Facebook tidak hanya menyediakan perkhidmatan tersembunyi. Mereka juga mendapat sijil https untuk perkhidmatan tersembunyi mereka, dan ia ditandatangani oleh Digicert sehingga penyemak imbas mereka akan menerimanya. Keputusan ini menghasilkan beberapa perbincangan bersemangat dalam komuniti CA / Penyemak Imbas, yang menentukan jenis nama yang boleh mempunyai sijil rasmi. Perbincangan itu masih berjalan, tetapi ini adalah pandangan awal saya mengenai perkara ini.
Untuk: Kami, komuniti keselamatan Internet, mengajar orang bahawa https itu perlu dan bahawa http itu menakutkan. Oleh itu, masuk akal bahawa pengguna ingin melihat rentetan "https" di hadapan.
Con: Jabat tangan .onion pada dasarnya memberikan semua itu secara percuma, jadi dengan mendorong orang untuk membayar Digicert kita memperkuat model perniagaan pensijilan ketika mungkin kita harus terus menunjukkan alternatif.
Untuk: https sebenarnya menawarkan lebih banyak, sekiranya perkhidmatan (ladang pelayan Facebook) tidak berada di tempat yang sama dengan program Tor. Ingatlah bahawa bukan syarat pelayan web dan proses Tor berada pada mesin yang sama, dan dalam konfigurasi yang rumit seperti Facebook mereka mungkin tidak seharusnya. Seseorang boleh berpendapat bahawa batu terakhir ini ada di dalam rangkaian syarikat anda, jadi siapa yang peduli jika ia tidak disulitkan, tetapi saya fikir ungkapan "ssl ditambahkan dan dikeluarkan di sana" akan mengakhiri hujah itu.
Kekurangan: Sekiranya laman web mendapat sijil, laman web ini akan semakin menegaskan kepada pengguna bahawa ia "perlu", dan kemudian pengguna akan mula bertanya kepada laman web lain mengapa mereka tidak memilikinya. Saya bimbang bahawa mode bermula di mana anda perlu membayar wang Digicert untuk memiliki perkhidmatan tersembunyi atau mereka tidak akan menganggapnya mencurigakan - terutamanya kerana perkhidmatan tersembunyi yang menghargai kerahsiaan mereka akan mengalami kesukaran untuk memiliki sijil.
Alternatifnya ialah memberitahu Tor Browser bahawa alamat .onion dengan https tidak layak mendapat amaran pop-up yang menakutkan. Pendekatan yang lebih teliti ke arah itu adalah untuk mempunyai cara untuk perkhidmatan tersembunyi untuk menghasilkan sijil https sendiri yang ditandatangani dengan kunci peribadinya, dan memberitahu Tor Browser bagaimana mengesahkannya - pada dasarnya CA yang terdesentralisasi untuk alamat .onion, kerana mereka pengesah automatik. Kemudian mereka tidak perlu melalui omong kosong untuk berpura-pura melihat apakah mereka dapat membaca e-mel di domain, dan secara umum mempromosikan model CA semasa.
Kita juga dapat membayangkan model nama haiwan peliharaan di mana pengguna dapat memberitahu Penyemak Imbas Tor mereka bahawa alamat .onion ini "adalah" Facebook. Atau pendekatan yang lebih mudah adalah dengan memasukkan senarai penanda perkhidmatan tersembunyi "diketahui" ke dalam Penyemak Imbas Tor - seperti CA kami sendiri, menggunakan model lama / etc / host. Pendekatan itu akan menimbulkan persoalan politik laman web mana yang harus kita sokong.
Oleh itu, saya belum memutuskan arah mana saya fikir perbincangan ini harus diambil. Saya bersatu dengan "kami mengajar pengguna untuk memeriksa https, jadi jangan membingungkan mereka", tetapi saya juga bimbang dengan keadaan licin di mana mendapatkan sijil menjadi langkah yang diperlukan untuk memiliki perkhidmatan yang bereputasi baik. Beri tahu kami jika anda mempunyai hujah-hujah lain yang menarik atau tidak.
Bahagian Lima: Apa Yang Perlu Dilakukan?
Dari segi reka bentuk dan keselamatan, perkhidmatan tersembunyi tetap memerlukan kasih sayang. Kami mempunyai rancangan untuk reka bentuk yang lebih baik (lihat cadangan Tor 224) tetapi kami tidak mempunyai dana atau pemaju yang mencukupi untuk mewujudkannya. Kami bercakap dengan beberapa jurutera Facebook minggu ini mengenai kebolehpercayaan dan skalabiliti perkhidmatan tersembunyi, dan kami gembira kerana Facebook sedang mempertimbangkan untuk melakukan usaha pembangunan untuk membantu meningkatkan perkhidmatan tersembunyi.
Dan akhirnya, mengenai mengajar orang tentang ciri keselamatan laman web .onion, saya tertanya-tanya apakah "perkhidmatan tersembunyi" bukan lagi frasa terbaik di sini. Pada asalnya kami memanggil mereka "perkhidmatan lokasi tersembunyi", yang dengan cepat disingkat menjadi "perkhidmatan tersembunyi". Tetapi melindungi lokasi perkhidmatan hanyalah salah satu ciri keselamatan yang mereka ada. Mungkin kita harus bertanding untuk mendapatkan nama baru untuk perkhidmatan yang dilindungi itu? Malah sesuatu seperti "perkhidmatan bawang" boleh menjadi lebih baik jika mereka memaksa orang untuk mempelajari apa itu.
Tahniah untuk artikel hebat terutama bagi kita yang berada di dunia yupi di Internet ini
Ia sangat sederhana. Sekiranya anda log masuk dengan akaun gmail atau facebook atau mana-mana syarikat yang disebut oleh Snowden, anda akan kehilangan nama anda.
Ia seperti seseorang yang menggunakan TAIS dan log masuk melalui gmail dan berpura-pura tidak dikenali, satu-satunya perkara yang akan mereka lakukan ialah menimbulkan kecurigaan dan menunjukkan nama pengguna mereka.
Suka membaca bukan perkara anda, ya?
Hampir semua orang bercakap mengenai Tor tetapi saya belum melihat i2p yang disebutkan di sini, jika anda ingin memberikan pendapat anda mengenai perkara ini.
... Atau itu adalah perangkap manis untuk mengetahui pengguna Tor mana yang menghubungkan ke Facebook terlebih dahulu dan ke perkhidmatan peribadi atau selamat lain kemudian, untuk menyemak semula data dan mengenalinya.
Saya di Facebook atau dalam gambar, terima kasih. Dia berlalu. Saya lebih suka Diaspora berjuta-juta kali. Tidak ada penapisan.
Tetapi adakah mereka naif, baik TOR dan Facebook dibiayai oleh orang yang sama, atau apakah TOR dianggap melabur untuk tidak mahu namanya naif yang tidak menyedari di mana perniagaan itu.
Mereka adalah mata wang yang sama ... mereka mahukan keamanan? baik itu bukan di mana tembakan pergi.
Keselamatan akan diberikan oleh profil yang salah, profil yang difikirkan dengan sempurna dan boleh dipercayai, tetapi palsu dan selalu menggunakan yang sama, adalah perkara terburuk yang boleh berlaku kepada NSA atau siapa pun, jika anda membuat profil dan mereka mempercayainya .
Saya hanya akan mengatakan bahawa saya rasa anda tidak memahami TOR dengan baik.
Saya hanya akan mengatakan bahawa di mana-mana sistem yang memerlukan pelayan perantaraan, layak untuk dibeli dengan dolar dari pemilik pelayan tersebut.
Cara terbaik adalah memberikan apa yang mereka mahukan tanpa menyembunyikan apa-apa, tetapi memberikannya dengan profil palsu dan mereka mempercayainya.
Satu-satunya perkara yang membimbangkan Facebook adalah kehilangan pelanggan kerana penapisan beberapa negara, ada juga alternatif yang lebih baik seperti torbook, diaspora, dll.
dan bagaimana dengan yang ini di sini
http://www.opennicproject.org/
Menarik, kerana ia sesuai dengan falsafah pergerakan Freenet.
Saya telah lama menggunakannya. Ia bagus. ISP anda tidak tahu laman web mana yang anda lihat. Pemilik pelayan tersebut tidak menyimpan log mereka, jadi mereka juga tidak tahu. Ini membawa anda sangat dekat dengan privasi yang diinginkan.
Ia tidak lagi berfungsi?
Bagi saya masih bodoh untuk menggunakan TOR untuk menyambung ke facebook, ... apa yang telah anda ditapis di negara anda? itulah proksi. Tor adalah rangkaian untuk tidak mahu menyiarkan nama dengan nama anda, satu-satunya perkara yang anda akan capai ialah pelacak facebook menjejaki semua laman web .onion yang anda lawati.