Sot Facebook zbuloi shërbimi i tij i fshehur që i lejon përdoruesit të hyjnë në faqen tuaj në internet me më shumë kujdes. Përdoruesit dhe gazetarët na kanë kërkuar përgjigjet tona; këtu janë disa pika për t'ju ndihmuar të kuptoni mendimin tonë.
Pjesa e parë: Po, të vizitosh Facebook-un në Tor nuk është një kontradiktë
Nuk e kuptova që duhet ta përfshija këtë pjesë, derisa sot dëgjova nga një gazetar i cili shpresonte të merrte një citim nga unë pse përdoruesit e Tor nuk do të përdorin as Facebook. Duke lënë mënjanë pyetjet (ende shumë të rëndësishme) në lidhje me zakonet e privatësisë së Facebook, politikat e tyre të dëmshme për emrin e vërtetë dhe nëse ato duhet t'ju tregojnë ose jo ndonjë gjë për ju, çelësi këtu është që anonimati nuk është thjesht fshehja nga destinacionet tuaja.
Nuk ka asnjë arsye për ta njoftuar ISP-në tuaj kur ose nëse ata po vizitojnë Facebook-un. Nuk ka asnjë arsye që ISP-ja e rrjedhës së sipërme të Facebook-ut, ose ndonjë agjenci që monitoron internetin, të dijë kur ose nëse ata po vizitojnë Facebook-un. Dhe nëse vendosni t'i tregoni Facebook-ut diçka për ju, ende nuk ka asnjë arsye t'i lini ata të zbulojnë automatikisht qytetin në të cilin jeni duke bërë kështu.
Gjithashtu, duhet të kujtojmë se ka disa vende ku nuk mund të arrihet Facebook. Kam biseduar me dikë nga siguria në Facebook disa kohë më parë i cili më tregoi një histori qesharake. Kur ai u takua për herë të parë me Torin, ai e urrente atë dhe i frikësohej sepse ai "në mënyrë të qartë" synonte të minonte modelin e tij të biznesit për të mësuar gjithçka në lidhje me përdoruesit e tij. Pastaj papritmas Irani bllokon Facebook, një pjesë e mirë e popullsisë Persiane në Facebook kaloi në hyrjen në Facebook përmes Tor, dhe ai u bë një tifoz i Tor sepse përndryshe ata përdorues do të ishin hackuar. Vende të tjera si Kina ndoqën një model të ngjashëm pas kësaj. Kjo zhvendosje në mendjen e tij midis "Tor si një mjet privatësie për të lejuar përdoruesit të kontrollojnë të dhënat e tyre" dhe "Tor si një mjet komunikimi për t'u dhënë përdoruesve lirinë për të zgjedhur se cilat site do të vizitojnë" është një shembull i shkëlqyeshëm i larmia e përdorimeve të TorÇfarëdo që të mendoni për atë që është Tor, unë garantoj se ka një person që e përdor atë për diçka që nuk e keni menduar.
Pjesa e dytë: ne jemi të lumtur të shohim një adoptim më të gjerë të shërbimeve të fshehura
Unë mendoj se është mirë për Tor që Facebook shtoi një adresë .onion. Ka disa raste përdorimi tërheqëse për shërbimet e fshehura: për shembull ato të përshkruara në «duke përdorur shërbimet e fshehura të Tor-it për mirë«Si dhe mjetet e ardhshme të bisedës së decentralizuar si Ricochet ku secili përdorues është një shërbim i fshehur, kështu që nuk ka asnjë pikë qendrore për të spiunuar për të kursyer të dhëna. Por ne nuk i kemi publikuar shumë këta shembuj, veçanërisht në krahasim me reklamat që kanë patur në vitet e fundit shembujt "Unë kam një faqe në internet që qeveria dëshiron të mbyllë".
Shërbime të fshehura ato ofrojnë një larmi të vetive të dobishme të sigurisë. E para - dhe ajo që mendojnë më shumë - sepse përdor dizajni Qarqet Tor, është e vështirë të zbulosh se ku ndodhet shërbimi në botë. Por e dyta, sepse adresa e një shërbimi është hasha e çelësit tuaj, Ata janë vetë-autentikues: nëse shtypin në një adresë të dhënë .onion, klienti juaj Tor garanton se në të vërtetë po flet me shërbimin që njeh çelësin privat që korrespondon me adresën. Një karakteristikë e bukur e tretë është se procesi i takimit siguron kriptim nga fundi në fund, edhe kur trafiku i nivelit të aplikacionit është i pakriptuar.
Kështu që jam i ngazëllyer që kjo lëvizje në Facebook do të ndihmojë në vazhdimin e hapjes së mendjes së njerëzve pse ata do të dëshironin të ofronin një shërbim të fshehur dhe do të ndihmonte të tjerët të mendonin për përdorime më të reja për shërbimet e fshehura.
Një tjetër implikim i mirë këtu është që Facebook po angazhohet të marrë seriozisht përdoruesit e tij Tor. Qindra mijëra njerëz kanë përdorur me sukses Facebook në Tor për vite me rradhë, por në epokën e sotme të shërbimeve si Wikipedia të cilët zgjedhin të mos pranojnë kontribute nga përdoruesit që kujdesen për privatësinëRefshtë freskuese dhe inkurajuese të shohësh një faqe të madhe në internet që vendos se është në rregull që përdoruesit e saj të duan më shumë siguri fizike.
Si një shtesë e këtij optimizmi, do të ishte trishtuese nëse Facebook shton një shërbim të fshehur, do të kishte një problem me trolls dhe do të vendoste që ata të parandalonin përdoruesit e Tor që të përdorin adresën e tyre të vjetër. https://www.facebook.com/. Kështu që ne duhet të jemi vigjilentë për të ndihmuar Facebook-un të vazhdojë të lejojë përdoruesit e Tor-it që t'i përdorin ato përmes çdo adrese.
Pjesa e tretë: adresa juaj e kotë nuk do të thotë se bota ka mbaruar
Emri i shërbimit tuaj të fshehur është "facebookcorewwwi.onion". Për të qenë hash i një çelësi publik, sigurisht që nuk duket i rastësishëm. Shumë njerëz po pyesnin se si mund të bënin forcë brutale mbi të gjithë emrin.
Përgjigja e shkurtër është se për gjysmën e parë ("facebook"), e cila është vetëm 40 bit, ata gjeneruan çelësa pa pushim derisa morën disa prej tyre, 40 bitët e parë të hashit përputheshin me vargun që ata dëshironin.
Pastaj ata kishin disa çelësa emrat e të cilëve filluan me "facebook", dhe ata shikuan gjysmën e dytë të secilit për të zgjedhur ato me rrokje të theksuara dhe për këtë arsye të paharrueshme. Një "corewwwi" u dukej më e mira për ta - do të thotë se ata mund të vijnë me një Histori pse është një emër i arsyeshëm që Facebook të përdorë - dhe ata shkuan për të.
Pra, për të sqaruar, ata nuk do të ishin në gjendje të prodhonin saktësisht këtë emër nëse do të dëshironin. Ata mund të prodhojnë hashe të tjerë që fillojnë me "facebook" dhe përfundojnë me rrokje të theksueshme, por kjo nuk është forcë e egër në të gjithë emrin e shërbimit të fshehur (të gjitha 80 bitët). Për ata që duan të eksplorojnë më tej matematikën, lexoni në «sulmi i ditëlindjes« Dhe për ata që duan të mësojnë (ju lutemi ndihmoni!) Për përmirësimet që ne do të dëshironim të bënim në shërbimet e fshehura, përfshirë fjalëkalimet dhe emrat më të fortë, shih «shërbimet e fshehura kanë nevojë për afeksion"dhe propozimi Tor 224.
Pjesa e katërt: Çfarë mendojmë për një certifikatë https për një adresë .onion?
Facebook nuk vendosi vetëm një shërbim të fshehur. Ata gjithashtu morën një certifikatë https për shërbimin e tyre të fshehur dhe është nënshkruar nga Digicert në mënyrë që shfletuesit e tyre ta pranojnë atë. Ky vendim prodhoi disa diskutime të frymëzuara në komunitetin CA / Browser, i cili vendos se çfarë lloj emrash mund të kenë certifikata zyrtare. Ky diskutim është ende në proces, por këto janë pikëpamjet e mia të hershme për këtë.
Për: Ne, bashkësia e sigurisë në Internet, u mësojmë njerëzve se https është i nevojshëm dhe se http është e frikshme. Pra, ka kuptim që përdoruesit duan të shohin vargun "https" përpara.
Con: Shtrëngimi i duarve .onion në thelb i jep të gjitha ato falas, kështu që duke inkurajuar njerëzit të paguajnë Digicert ne po përforcojmë modelin e biznesit të çertifikimit kur mbase duhet të vazhdojmë të demonstrojmë një alternativë.
Për: https në të vërtetë ofron pak më shumë, në rastin kur shërbimi (ferma e serverit të Facebook) nuk është në të njëjtin vend me programin Tor. Mos harroni se nuk është një kërkesë që serveri i internetit dhe procesi Tor të jenë në të njëjtën makinë, dhe në një konfigurim të komplikuar si Facebook ata ndoshta nuk duhet të jenë. Dikush mund të argumentojë se ky milje i fundit është brenda rrjetit tuaj të korporatave, kështu që kujt i intereson nëse nuk është i koduar, por unë mendoj se fraza "ssl shtohet dhe hiqet atje" do t'i japë fund këtij argumenti.
Kundrat: Nëse një sit merr një certifikatë, ajo do të përforcojë më tej për përdoruesit se është "e nevojshme", dhe pastaj përdoruesit do të fillojnë të pyesin faqet e tjera pse nuk e kanë një të tillë. Shqetësohem se një modë po fillon atje ku ju duhet të paguani para Digicert për të pasur një shërbim të fshehur ose ata nuk do të mendojnë se është i dyshimtë - veçanërisht pasi shërbimet e fshehura që vlerësojnë anonimitetin e tyre do ta kishin të vështirë të kishin një certifikatë.
Një alternativë do të ishte t’i tregonit Tor Browser-it se adresat .onion me https nuk meritojnë një paralajmërim të frikshëm për pop-up. Një qasje më e përpiktë në atë drejtim është që të ketë një mënyrë që një shërbim i fshehur të gjenerojë certifikatën e tij https të nënshkruar me çelësin e tij privat të qepës dhe t'i tregojë Tor Browser si t'i verifikojë ato - në thelb një CA e decentralizuar për adresat. vërtetuesit. Atëherë ata nuk do të kishin nevojë të kalonin nëpër marrëzira për të pretenduar për të parë nëse mund të lexonin email në domen, dhe në përgjithësi duke promovuar modelin aktual të CA.
Ne gjithashtu mund të imagjinojmë një model të emrat e kafshëve shtëpiake ku përdoruesi mund t'i tregojë Shfletuesit të tij Tor se kjo adresë .onioni "është" Facebook. Ose mënyra më e drejtpërdrejtë do të ishte të sillnim një listë të faqeshënuesve të shërbimit të fshehur "të njohur" në Shfletuesin Tor - siç është vet CA-ja jonë, duke përdorur modelin e vjetër / etj / host. Kjo qasje do të ngriste pyetjen politike se cilat faqe duhet të mbështesim.
Kështu që nuk e kam vendosur ende mendimin se në cilin drejtim mendoj se duhet të marrë ky diskutim. Unë jam solidar me "ne i mësojmë përdoruesit të kontrollojnë https, kështu që mos t'i ngatërrojmë", por gjithashtu shqetësohem për situatën e rrëshqitshme ku marrja e një çertifikimi bëhet një hap i kërkuar për të pasur një shërbim me reputacion. Na tregoni nëse keni ndonjë argument tjetër bindës pro ose kundër.
Pjesa e pestë: Çfarë mbetet për të bërë?
Sa i përket dizajnit dhe sigurisë, shërbimet e fshehura ende kanë nevojë për dashuri. Ne kemi plane për dizajne të përmirësuara (shih propozimi Tor 224) por ne nuk kemi fonde të mjaftueshme ose zhvillues për ta realizuar atë. Ne ishim duke biseduar me disa inxhinierë të Facebook këtë javë në lidhje me besueshmërinë dhe shkallëzimin e shërbimit të fshehur, dhe ne jemi të ngazëllyer që Facebook po konsideron të bëjë përpjekje zhvillimi për të ndihmuar në përmirësimin e shërbimeve të fshehura.
Dhe së fundmi, duke folur për të mësuar njerëzit për tiparet e sigurisë së faqeve .onion, pyes veten nëse "shërbimet e fshehura" nuk janë më fraza më e mirë këtu. Ne fillimisht i quanim "shërbime të vendndodhjes së fshehur", e cila u shkurtua shpejt në "shërbime të fshehura". Por mbrojtja e vendndodhjes së shërbimit është vetëm një nga tiparet e sigurisë që ata kanë. Ndoshta duhet të kemi një konkurs për të bërë një emër të ri për ato shërbime të mbrojtura? Edhe diçka si "shërbimet e qepës" mund të jenë më të mira nëse i detyrojnë njerëzit të mësojnë se çfarë janë.
Urime për një artikull të shkëlqyeshëm veçanërisht për ata prej nesh në botët e yupi-ve në këtë Internet
Supershtë shumë e thjeshtë. Nëse hyni me një llogari në gmail ose facebook ose ndonjë prej kompanive të përmendura nga Snowden, ju humbni anonimitetin tuaj.
Likeshtë si dikush që përdor TAIS dhe hyn në gmail dhe bën sikur është anonim, e vetmja gjë që do të bëjë është të ngrejë dyshime dhe të tregojë emrin e përdoruesit.
Ashtu si leximi nuk është gjëja juaj, hë?
Pothuajse të gjithë flasin për Torin, por unë nuk kam parë i2p të përmendet këtu, nëse ju lutemi na jepni mendimin tuaj për të.
... Ose është një kurth i ëmbël për të zbuluar se cili përdorues i Tor-it lidhet më parë me Facebook dhe më vonë me një shërbim tjetër privat ose të sigurt, në mënyrë që të kontrollojë të dhënat dhe t'i identifikojë ato.
Unë në Facebook ose në foto, faleminderit. Ai kaloi. Unë preferoj Diasporën miliona herë. As censura nuk ka.
Por a është se ata janë naivë, të dy TOR dhe Facebook financohen nga të njëjtët njerëz, apo është se ata mendojnë se TOR investon për anonimitetin e naivëve që nuk e kuptojnë se ku është biznesi.
Ata janë fytyra e së njëjtës monedhë… ata duan siguri? mirë që nuk është vendi ku shkojnë të shtënat.
Siguria do të jepet nga një profil i rremë, një profil i menduar në mënyrë të përsosur dhe i besueshëm, por i rremë dhe gjithmonë duke përdorur të njëjtin, është gjëja më e keqe që mund t'i ndodhë NSA ose kushdo qoftë, nëse krijoni një profil dhe ata e besojnë atë. .
Thjesht do të them se nuk mendoj se e keni kuptuar mirë TOR.
Unë vetëm do të them se në çdo sistem që ka nevojë për një server të ndërmjetëm, është e mundur të blihet me dollarë nga pronarët e atij serveri.
Mënyra më e mirë është t'u jepni atyre atë që duan pa fshehur asgjë, por t'ua jepni atyre me një profil të rremë dhe ata e besojnë atë.
E vetmja gjë që shqetëson Facebook është humbja e klientëve për shkak të censurës së disa vendeve, ka edhe alternativa më të mira për shembull torbook, diasporë etj.
dhe çfarë lidhje me këtë këtu
http://www.opennicproject.org/
Interesante, pasi përshtatet lehtësisht në filozofinë e lëvizjes Freenet.
Unë kam qenë duke e përdorur atë për një kohë të gjatë. Eshte mire. ISP-ja juaj nuk e di se cilat faqe në internet shihni. Pronarët e atyre serverave nuk i ruajnë regjistrat e tyre, kështu që as ata nuk e dinë. Ju sjell shumë afër privatësisë së dëshiruar.
Nuk funksionon më?
Për mua është akoma pa kuptim të përdor TOR për t'u lidhur me facebook,… çfarë jeni censuruar në vendin tuaj? për këtë janë të autorizuarit. Tor është një rrjet për anonimitet për të mos postuar gjëra me emrin tuaj, e vetmja gjë që do të arrini është që gjurmuesit e facebook të ndjekin të gjitha faqet .onion që vizitoni.