Danes je razkril Facebook njegovo skrito službo ki uporabnikom omogoča natančnejši dostop do vašega spletnega mesta. Uporabniki in novinarji so nas prosili za odgovore; tukaj je nekaj točk, ki vam bodo pomagale razumeti naše mnenje.
Prvi del: Da, obisk Facebooka na Toru ni protislovje
Nisem se zavedal, da bi moral vključiti ta odsek, vse do danes sem slišal od novinarja, ki je upal, da bo od mene imel ponudbo, zakaj uporabniki Tora niti ne bi uporabljali Facebooka. Če pustimo ob strani (še vedno zelo pomembna) vprašanja o zasebnih navadah Facebooka, njihovih škodljivih politikah glede resničnega imena in ali naj vam kaj povejo o vas, je ključno, da anonimnost se ne skriva samo pred vašimi cilji.
Ni razloga, da svojega ponudnika internetnih storitev obvestite, kdaj ali če obiskujete Facebook. Ni razloga, da ponudnik internetnih storitev Facebook ali katera koli agencija, ki nadzira internet, ve, kdaj ali če obiskuje Facebook. In če se odločite Facebooku povedati kaj o sebi, še vedno ni razloga, da jim dovolite, da pri tem samodejno odkrijejo mesto, v katerem ste.
Prav tako se moramo zavedati, da na nekaterih mestih ni mogoče dostopati do Facebooka. Pred časom sem na Facebooku govoril z nekom iz varnostne službe, ki mi je povedal smešno zgodbo. Ko je Tor prvič srečal, ga je sovražil in se ga bal, ker je "očitno" nameraval spodkopati njegov poslovni model, da je izvedel vse o svojih uporabnikih. Nato Iran nenadoma blokira Facebook, dobršen del perzijskega prebivalstva na Facebooku je prestopil na dostop do Facebooka prek Tor-a in postal je oboževalec Tor-a, ker bi bili v nasprotnem primeru ti uporabniki hakirani. Tudi druge države, kot je Kitajska, so po tem sledile podobnemu vzorcu. Ta premik v njegovih mislih med "Tor kot orodje za zasebnost, ki uporabnikom omogoča nadzor nad lastnimi podatki" in "Tor kot komunikacijsko orodje, ki uporabnikom omogoča svobodo pri izbiri spletnih mest, ki jih bodo obiskali", je odličen primer raznolikost uporabe TorKarkoli si mislite o tem, čemu Tor služi, zagotavljam, da obstaja oseba, ki ga uporablja za nekaj, česar niste upoštevali.
Drugi del: veseli smo širšega sprejemanja skritih storitev
Mislim, da je za Tor super, da je Facebook dodal naslov .onion. Obstaja nekaj prepričljivih primerov uporabe skritih storitev: na primer tisti, opisani v «uporaba Tor-ovih skritih storitev za vedno«Kot tudi prihajajoča decentralizirana orodja za klepet, kot je Ricochet, kjer je vsak uporabnik skrita storitev, zato ni nobene osrednje točke, ki bi vohunila za shranjevanje podatkov. A teh primerov nismo veliko objavljali, zlasti v primerjavi z oglaševanjem primerov "Imam spletno mesto, ki ga vlada želi zapreti" v zadnjih letih.
Skrite storitve zagotavljajo različne uporabne varnostne lastnosti. Prva - in tista, ki si najbolj misli, - ker dizajn uporablja Tor vezja, je težko odkriti, kje je storitev v svetu. Toda drugo, ker je naslov storitve razpršitev vašega ključase samopreverjajo: če vnesejo določen naslov .onion, odjemalec Tor zagotavlja, da dejansko govori s storitvijo, ki pozna zasebni ključ, ki ustreza naslovu. Dobra tretja lastnost je, da postopek srečanja zagotavlja šifriranje od konca do konca, tudi če promet na ravni aplikacije ni šifriran.
Tako sem navdušen, da bo ta poteza na Facebooku ljudem še naprej odpirala misli, zakaj bi želeli ponuditi skrito storitev, in drugim pomagala, da razmišljajo o novih načinih uporabe skritih storitev.
Druga dobra implikacija tukaj je, da se Facebook zavezuje, da bo svoje uporabnike Tor jemal resno. Sto tisoče ljudi že leta uspešno uporablja Facebook na Toru, vendar v današnji dobi storitev, kot je Wikipedia ki se odločijo, da ne bodo sprejemali prispevkov uporabnikov, ki jim je mar za zasebnostOsvežujoče in spodbudno je videti veliko spletno mesto, ki se odloča, da je v redu, če njegovi uporabniki želijo več fizične varnosti.
Kot dodatek k temu optimizmu bi bilo žalostno, če bi Facebook dodal skrito storitev, imel težave s troli in se odločil, da bi morali uporabnikom Tora preprečiti uporabo starega naslova. https://www.facebook.com/. Zato bi morali biti pozorni in pomagati Facebooku, da še naprej dovoljuje uporabnikom Tor dostop do njih s katerega koli naslova.
Tretji del: vaš zaman nagovor ne pomeni, da je sveta konec
Ime vaše skrite storitve je "facebookcorewwwi.onion". Ker je zgoščenka javnega ključa, se zagotovo ne zdi naključna. Mnogi ljudje so spraševali, kako bi lahko to storili silovita sila nad celotnim imenom.
Kratek odgovor je, da so v prvi polovici ("facebook"), to je le 40 bitov, vedno znova generirali ključe, dokler niso dobili nekaj, katerih prvih 40 bitov zgoščene vrstice se je ujemalo z nizom, ki so ga želeli.
Nato so imeli nekaj tipk, katerih imena so se začela s "facebook", in so si ogledali drugo polovico vsakega, da so izbrali tiste z izrazitimi in zato nepozabnimi zlogi. Najboljši se jim je zdel tisti z "corewwwi" - kar pomeni, da so lahko prišli z Zgodovina o tem, zakaj je smiselno ime za Facebook - in so šli ponjo.
Da pojasnimo, tega imena ne bi mogli več natančno izdelati, če bi to želeli. Lahko bi ustvarili druge zgoščevalne znake, ki se začnejo s "facebook" in končajo z izgovorljivimi zlogi, vendar to ni groba sila za celotno ime skrite storitve (vseh 80 bitov). Za tiste, ki želijo matematiko nadalje raziskovati, preberite o «napad na rojstni dan«. Za tiste, ki se želijo naučiti (prosim, pomagajte!) O izboljšavah, ki bi jih radi naredili na skritih storitvah, vključno z močnejšimi gesli in imeni, glejte «skrite storitve potrebujejo naklonjenost"in predlog Tor 224.
Četrti del: Kaj menimo o https certifikatu za naslov .onion?
Facebook ni ponudil samo skrite storitve. Za svojo skrito storitev so dobili tudi https certifikat, podpisal pa ga je Digicert, da ga bodo sprejeli njihovi brskalniki. Ta odločitev je prinesla nekaj živahne razprave v skupnosti CA / Browser, ki odloča, kakšna imena imajo uradna potrdila. Ta razprava še poteka, toda to so moja zgodnja stališča o tem.
Za: Mi, skupnost internetne varnosti, učimo ljudi, da je https nujen in da je http strašljiv. Zato je smiselno, da uporabniki želijo videti niz »https« spredaj.
Con: Rokovanje z .onion v bistvu daje vse to brezplačno, zato s spodbujanjem ljudi k plačilu Digicerta krepimo certifikacijski poslovni model, ko bi morda morali še naprej dokazovati alternativo.
V prid: https dejansko ponuja nekoliko več, v primeru, da storitev (kmetija strežnikov Facebook) ni na istem mestu kot program Tor. Ne pozabite, da ni zahteva, da morata biti spletni strežnik in postopek Tor na istem računalniku, v zapleteni konfiguraciji, kot je Facebook, pa verjetno ne bi smeli biti. Lahko bi trdili, da je ta zadnja milja znotraj vašega poslovnega omrežja, zato koga briga, če ni šifriran, vendar mislim, da bo stavek "ssl tam dodan in odstranjen" končal ta argument.
Proti: Če spletno mesto dobi certifikat, bo uporabnikom še bolj poudarilo, da je to "potrebno", nato pa bodo začeli uporabnike spraševati druga mesta, zakaj ga nimajo. Skrbi me, da se začne muha, kjer morate Digicertu plačati denar za skrito storitev, sicer se jim ne bo zdelo sumljivo - še posebej, ker bi skrite storitve, ki cenijo njihovo anonimnost, težko imele certifikat.
Druga možnost bi bila povedati brskalniku Tor, da naslovi .onion s https ne zaslužijo strašljivega pojavnega opozorila. Bolj natančen pristop v tej smeri je, da skrite storitve ustvarijo lastno potrdilo https, podpisano z zasebnim ključem čebule, in brskalniku Tor povedo, kako jih lahko preveri - v bistvu decentraliziran CA za naslove .onion, saj avto-overitelji. Potem jim ne bi bilo treba neumno pretvarjati, da bi lahko prebrali e-pošto na domeni, in na splošno promovirali trenutni model CA.
Lahko bi si tudi zamislili model imena hišnih ljubljenčkov kjer lahko uporabnik svojemu brskalniku Tor pove, da je ta .onion naslov "Facebook". Ali bolj enostaven pristop bi bil vnos seznama "znanih" skritih zaznamkov storitev v brskalnik Tor - na primer naš lasten CA, z uporabo starega modela / etc / hosts. Ta pristop bi sprožil politično vprašanje, katera spletna mesta bi morali podpirati.
Torej se še nisem odločil, v katero smer naj bi šla ta razprava. Solidarna sem s tem, "uporabnike učimo preverjati https, zato jih ne bomo zmedli", skrbi pa me tudi spolzka situacija, ko pridobivanje certifikata postane potreben korak za ugledno storitev. Sporočite nam, če imate še kakšne prepričljive argumente za ali proti.
Peti del: Kaj je še treba storiti?
Kar zadeva zasnovo in varnost, skrite storitve še vedno potrebujejo naklonjenost. Načrtujemo izboljšane zasnove (glej predlog Tor 224), vendar za to nimamo dovolj sredstev ali razvijalcev. Ta teden smo se z nekaterimi inženirji Facebooka pogovarjali o zanesljivosti in razširljivosti skrite storitve in navdušeni smo, da Facebook razmišlja, da bi si prizadeval za izboljšanje skritih storitev.
In končno, ko govorim o poučevanju ljudi o varnostnih značilnostih spletnih mest .onion, se sprašujem, ali "skrite storitve" tukaj niso več najboljša fraza. Prvotno smo jih imenovali »storitve skritih lokacij«, kar se je hitro skrajšalo na samo »skrite storitve«. Toda zaščita lokacije storitve je le ena izmed varnostnih funkcij, ki jih imajo. Mogoče bi morali imeti natečaj za izžrebanje novega imena teh zaščitenih storitev? Tudi kaj takega kot "storitve čebule" je lahko boljše, če prisilijo ljudi, da se naučijo, kaj so.
Čestitamo za odličen članek, posebej za tiste med nami v svetu jupija na tem internetu
Je zelo preprosto. Če se prijavite z računom za gmail ali facebook ali s katerim od podjetij, ki jih omenja Snowden, izgubite anonimnost.
To je tako, kot da nekdo uporablja TAIS in se prijavi v gmail ter se pretvarja, da je anonimen, edino, kar bo storil, je, da vzbudi sum in navede svoje uporabniško ime.
Kot da branje ni tvoja stvar, kaj?
Skoraj vsi govorijo o Toru, toda tu nisem videl i2p, če bi nam prosim dali svoje mnenje o njem.
... Ali pa je sladka past, če želite ugotoviti, kateri uporabnik Tor se najprej poveže s Facebookom, kasneje pa z drugo zasebno ali varno storitvijo, da lahko podatke navzkrižno preveri in prepozna.
Jaz na Facebooku ali na fotografiji, hvala. Šel je mimo. Diasporo imam raje milijonekrat. Niti cenzure ne.
Toda ali sta naivna, tako TOR kot Facebook financirata isti ljudje ali pa mislijo, da TOR vlaga v anonimnost naivnih, ki se ne zavedajo, kje je posel.
So obraz istega kovanca ... hočejo varnost? no, strel ne gre tja.
Varnost bo zagotavljal lažni profil, popolnoma premišljen in verodostojen profil, toda lažen in vedno isti profil je najslabša stvar, ki se lahko zgodi NSA ali komu drugemu, če si izmislite profil in mu verjamejo .
Rekel bom le, da mislim, da TOR niste dobro razumeli.
Rekel bom le, da je v katerem koli sistemu, ki potrebuje vmesni strežnik, mogoče kupiti z dolarji od lastnikov tega strežnika.
Najboljši način je, da jim daste, kar hočejo, ne da bi kaj skrivali, ampak jim to daste s ponarejenim profilom in to verjamejo.
Facebook skrbi samo izguba strank zaradi cenzure nekaterih držav, obstajajo tudi boljše alternative, na primer torbook, diaspora itd.
kaj pa ta tukaj
http://www.opennicproject.org/
Zanimivo, saj se zlahka prilega filozofiji gibanja Freenet.
Uporabljam ga že dolgo. V redu je. Vaš ponudnik internetnih storitev ne ve, katere spletne strani vidite. Lastniki teh strežnikov ne shranijo svojih dnevnikov, zato tudi ne vedo. Zelo vas približa želeni zasebnosti.
Ne deluje več?
Zame je še vedno neumno uporabljati TOR za povezavo s facebookom ... kaj imajo v vaši državi cenzurirano? temu so namenjeni pooblaščenci. Tor je anonimno omrežje, ki ne objavlja stvari z vašim imenom. Edino, kar boste dosegli, je, da facebook sledilci spremljajo vsa spletna mesta .onion, ki jih obiščete.