วันนี้ Facebook เปิดเผย บริการที่ซ่อนอยู่ของเขา ที่ช่วยให้ผู้ใช้เข้าถึงเว็บไซต์ของคุณได้อย่างระมัดระวังมากขึ้น ผู้ใช้และนักข่าวถามคำตอบจากเรา นี่คือบางประเด็นที่จะช่วยให้คุณเข้าใจความคิดเห็นของเรา
ส่วนที่หนึ่ง: ใช่การเยี่ยมชม Facebook บน Tor ไม่ใช่ความขัดแย้ง
ฉันไม่รู้ว่าฉันควรรวมส่วนนี้ไว้ด้วยจนกระทั่งวันนี้ฉันได้ยินจากนักข่าวที่หวังว่าจะได้คำพูดจากฉันว่าทำไมผู้ใช้ Tor ถึงไม่ใช้ Facebook ทิ้งคำถาม (ยังสำคัญมาก) เกี่ยวกับพฤติกรรมความเป็นส่วนตัวของ Facebook นโยบายชื่อจริงที่เป็นอันตรายและไม่ว่าพวกเขาควรจะบอกอะไรเกี่ยวกับคุณหรือไม่สิ่งสำคัญก็คือ การไม่เปิดเผยตัวตนไม่ใช่แค่การซ่อนตัวจากจุดหมายปลายทางของคุณ.
ไม่มีเหตุผลที่จะแจ้งให้ ISP ของคุณทราบว่าพวกเขากำลังเยี่ยมชม Facebook หรือไม่ ไม่มีเหตุผลที่ ISP ต้นน้ำของ Facebook หรือหน่วยงานใด ๆ ที่ตรวจสอบอินเทอร์เน็ตจะรู้ว่าพวกเขากำลังเยี่ยมชม Facebook หรือไม่ และหากคุณเลือกที่จะบอกบางอย่างเกี่ยวกับตัวคุณบน Facebook ก็ยังไม่มีเหตุผลที่จะให้พวกเขาค้นพบเมืองที่คุณอยู่โดยอัตโนมัติในขณะที่ทำเช่นนั้น
นอกจากนี้เราต้องจำไว้ว่ามีบางสถานที่ที่ไม่สามารถเข้าถึง Facebook ได้ ฉันได้พูดคุยกับใครบางคนจากการรักษาความปลอดภัยบน Facebook เมื่อไม่นานมานี้ซึ่งเล่าเรื่องตลกให้ฉันฟัง ตอนที่เขาพบกับ Tor ครั้งแรกเขาเกลียดและกลัวมันเพราะเขา "ชัดเจน" ตั้งใจที่จะบ่อนทำลายรูปแบบธุรกิจของพวกเขาในการเรียนรู้ทุกอย่างเกี่ยวกับผู้ใช้ของพวกเขา ทันใดนั้นอิหร่านก็บล็อก Facebook ประชากรเปอร์เซียจำนวนมากบน Facebook เปลี่ยนไปใช้การเข้าถึง Facebook ผ่าน Tor และเขาก็กลายเป็นแฟนของ Tor เพราะไม่เช่นนั้นผู้ใช้เหล่านั้นจะถูกแฮ็ก ประเทศอื่น ๆ เช่นจีนตามรูปแบบที่คล้ายกันหลังจากนั้น การเปลี่ยนแปลงในความคิดของเขาระหว่าง "Tor as a privacy tool เพื่อให้ผู้ใช้สามารถควบคุมข้อมูลของตนเอง" และ "Tor as a communication tool เพื่อให้ผู้ใช้มีอิสระในการเลือกว่าจะเข้าชมไซต์ใด" เป็นตัวอย่างที่ดีของ ความหลากหลายของการใช้ Torไม่ว่าคุณจะคิดอย่างไรเกี่ยวกับสิ่งที่ทอร์มีไว้ฉันรับประกันว่ามีคนที่ใช้มันเพื่อสิ่งที่คุณไม่ได้พิจารณา
ส่วนที่สอง: เรายินดีที่จะเห็นการใช้บริการที่ซ่อนอยู่ในวงกว้างมากขึ้น
ฉันคิดว่ามันยอดเยี่ยมสำหรับ Tor ที่ Facebook เพิ่มที่อยู่. ion มีบางกรณีการใช้งานที่น่าสนใจสำหรับบริการที่ซ่อนอยู่ตัวอย่างเช่นที่อธิบายไว้ใน«ใช้บริการที่ซ่อนอยู่ของ Tor ให้เป็นประโยชน์«เช่นเดียวกับเครื่องมือแชทแบบกระจายอำนาจที่กำลังจะมาถึงเช่น Ricochet ซึ่งผู้ใช้แต่ละคนเป็นบริการที่ซ่อนอยู่ดังนั้นจึงไม่มีจุดศูนย์กลางในการสอดแนมเพื่อบันทึกข้อมูล แต่เราไม่ได้เผยแพร่ตัวอย่างเหล่านี้มากนักโดยเฉพาะอย่างยิ่งเมื่อเทียบกับการประชาสัมพันธ์ที่ตัวอย่าง“ ฉันมีเว็บไซต์ที่รัฐบาลต้องการปิดตัวลง” ในช่วงไม่กี่ปีที่ผ่านมา
บริการที่ซ่อนอยู่ มีคุณสมบัติด้านความปลอดภัยที่เป็นประโยชน์มากมาย คนแรกและคนที่นึกถึงมากที่สุด - เพราะใช้การออกแบบ วงจรทอร์เป็นการยากที่จะค้นพบว่าบริการตั้งอยู่ที่ใดในโลก แต่ประการที่สองเนื่องจากที่อยู่ของบริการคือ แฮชของคีย์ของคุณพวกเขากำลังพิสูจน์ตัวตนด้วยตนเอง: หากพวกเขาพิมพ์ที่อยู่. ion ที่ระบุลูกค้า Tor ของคุณรับรองว่ากำลังคุยกับบริการที่รู้คีย์ส่วนตัวที่ตรงกับที่อยู่จริงๆ คุณลักษณะที่สามที่ดีคือกระบวนการนัดพบจะให้การเข้ารหัสจากต้นทางถึงปลายทางแม้ว่าการรับส่งข้อมูลระดับแอปพลิเคชันจะไม่ได้เข้ารหัสก็ตาม
ดังนั้นฉันรู้สึกตื่นเต้นที่การเคลื่อนไหวของ Facebook นี้จะช่วยเปิดใจผู้คนต่อไปว่าทำไมพวกเขาถึงต้องการเสนอบริการที่ซ่อนอยู่และช่วยให้ผู้อื่นคิดถึงการใช้บริการที่ซ่อนอยู่ใหม่ ๆ
นัยยะที่ดีอีกประการหนึ่งคือ Facebook มุ่งมั่นที่จะให้ความสำคัญกับผู้ใช้ Tor อย่างจริงจัง หลายแสนคนประสบความสำเร็จในการใช้ Facebook บน Tor มาหลายปีแล้ว แต่ในยุคปัจจุบันของบริการเช่น Wikipedia ที่เลือกที่จะไม่ยอมรับการมีส่วนร่วมจากผู้ใช้ที่ให้ความสำคัญกับความเป็นส่วนตัวเป็นเรื่องที่น่ายินดีและน่ายินดีที่เห็นเว็บไซต์ขนาดใหญ่ตัดสินใจว่าผู้ใช้ต้องการความปลอดภัยทางกายภาพมากขึ้นเป็นเรื่องปกติ
ในฐานะที่เป็นภาคผนวกของการมองโลกในแง่ดีนั้นคงเป็นเรื่องน่าเศร้าหาก Facebook เพิ่มบริการที่ซ่อนอยู่มีปัญหากับโทรลล์และตัดสินใจว่าพวกเขาควรป้องกันไม่ให้ผู้ใช้ Tor ใช้ที่อยู่เดิมของตน https://www.facebook.com/. ดังนั้นเราควรระมัดระวังในการช่วยให้ Facebook ดำเนินการต่อเพื่อให้ผู้ใช้ Tor เข้าถึงพวกเขาผ่านที่อยู่ใดก็ได้
ส่วนที่สาม: ที่อยู่ไร้สาระของคุณไม่ได้หมายความว่าโลกนี้จะจบลง
ชื่อบริการที่ซ่อนอยู่ของคุณคือ "facebookcorewwwi.onion" ในการเป็นแฮชของคีย์สาธารณะดูเหมือนจะไม่สุ่ม หลายคนถามว่าพวกเขาทำได้อย่างไร กำลังดุร้าย เหนือชื่อทั้งหมด
คำตอบสั้น ๆ คือสำหรับครึ่งแรก ("facebook") ซึ่งมีเพียง 40 บิตพวกเขาสร้างคีย์ซ้ำแล้วซ้ำเล่าจนกว่าจะได้บางส่วนที่แฮช 40 บิตแรกตรงกับสตริงที่ต้องการ
จากนั้นพวกเขาก็มีคีย์ที่มีชื่อขึ้นต้นด้วย "facebook" และพวกเขามองไปที่ครึ่งหลังของแต่ละปุ่มเพื่อเลือกคำที่ออกเสียงและพยางค์ที่น่าจดจำ "corewwwi" ดูเหมือนดีที่สุดสำหรับพวกเขา - หมายความว่าพวกเขาสามารถมาพร้อมกับ ประวัติศาสตร์ ทำไมจึงเป็นชื่อที่สมเหตุสมผลสำหรับ Facebook - และพวกเขาก็ไปหาเธอ.
ดังนั้นเพื่อชี้แจงพวกเขาจะไม่สามารถสร้างชื่อนี้ได้อีกครั้งหากต้องการ พวกเขาสามารถสร้างแฮชอื่น ๆ ที่ขึ้นต้นด้วย "facebook" และลงท้ายด้วยพยางค์ที่ออกเสียงได้ แต่นั่นไม่ใช่การใช้ชื่อบริการที่ซ่อนอยู่ทั้งหมด (ทั้งหมด 80 บิต) สำหรับผู้ที่ต้องการสำรวจคณิตศาสตร์เพิ่มเติมอ่านเกี่ยวกับ«โจมตีวันเกิด«. และสำหรับผู้ที่ต้องการเรียนรู้ (โปรดช่วยด้วย!) เกี่ยวกับการปรับปรุงที่เราต้องการทำกับบริการที่ซ่อนอยู่รวมถึงรหัสผ่านและชื่อที่รัดกุมยิ่งขึ้นโปรดดู«บริการที่ซ่อนอยู่ต้องการความรัก"และ ข้อเสนอตท. 224.
ส่วนที่สี่: เราคิดอย่างไรเกี่ยวกับใบรับรอง https สำหรับที่อยู่. หัวหอม
Facebook ไม่เพียง แต่วางบริการที่ซ่อนอยู่ พวกเขายังได้รับใบรับรอง https สำหรับบริการที่ซ่อนอยู่และมีการลงนามโดย Digicert เพื่อให้เบราว์เซอร์ของพวกเขายอมรับ การตัดสินใจนี้ก่อให้เกิดบางส่วน การอภิปรายที่มีชีวิตชีวา ในชุมชน CA / Browser ซึ่งจะตัดสินว่าชื่อประเภทใดที่สามารถมีใบรับรองอย่างเป็นทางการได้ การสนทนานั้นยังอยู่ระหว่างดำเนินการ แต่นี่เป็นมุมมองเบื้องต้นของฉันเกี่ยวกับเรื่องนี้
สำหรับ: พวกเราซึ่งเป็นชุมชนความปลอดภัยทางอินเทอร์เน็ตสอนผู้คนว่า https เป็นสิ่งที่จำเป็นและ http นั้นน่ากลัว ดังนั้นจึงสมเหตุสมผลที่ผู้ใช้ต้องการเห็นสตริง "https" ที่ด้านหน้า
Con: โดยทั่วไปแล้วการจับมือ. ionion จะให้ทุกอย่างฟรีดังนั้นการสนับสนุนให้ผู้คนจ่าย Digicert เรากำลังตอกย้ำรูปแบบธุรกิจการรับรองเมื่อบางทีเราควรจะแสดงทางเลือกต่อไป
ในความโปรดปราน: แท้จริง https มีอีกเล็กน้อยในกรณีที่บริการ (ฟาร์มเซิร์ฟเวอร์ของ Facebook) ไม่ได้อยู่ในที่เดียวกับโปรแกรม Tor โปรดจำไว้ว่าการที่เว็บเซิร์ฟเวอร์และกระบวนการทอร์อยู่บนเครื่องเดียวกันนั้นไม่ใช่ข้อกำหนดและในการกำหนดค่าที่ซับซ้อนเช่น Facebook ก็ไม่ควรเป็นเช่นนั้น อาจมีคนโต้แย้งว่าไมล์สุดท้ายนี้อยู่ในเครือข่ายองค์กรของคุณดังนั้นใครจะสนใจว่ามันไม่ได้เข้ารหัส แต่ฉันคิดว่าวลี "เพิ่มและลบ ssl ที่นั่น" จะยุติข้อโต้แย้งนั้น
จุดด้อย: หากไซต์ได้รับใบรับรองไซต์นั้นจะยิ่งตอกย้ำให้ผู้ใช้เห็นว่า "จำเป็น" จากนั้นผู้ใช้จะเริ่มถามไซต์อื่น ๆ ว่าทำไมพวกเขาถึงไม่มี ฉันกังวลว่าแฟชั่นกำลังเริ่มต้นที่คุณต้องจ่ายเงิน Digicert เพื่อให้มีบริการที่ซ่อนอยู่มิฉะนั้นพวกเขาจะไม่คิดว่าเป็นเรื่องน่าสงสัยโดยเฉพาะอย่างยิ่งเมื่อบริการที่ซ่อนอยู่ซึ่งให้ความสำคัญกับการไม่เปิดเผยตัวตนของพวกเขาจะทำให้มีใบรับรองได้ยาก
อีกทางเลือกหนึ่งคือการบอก Tor Browser ว่าที่อยู่. ion ด้วย https ไม่สมควรได้รับคำเตือนแบบป๊อปอัปที่น่ากลัว วิธีการที่พิถีพิถันมากขึ้นในทิศทางนั้นคือการมีวิธีสำหรับบริการที่ซ่อนอยู่ในการสร้างใบรับรอง https ของตัวเองที่ลงนามด้วยคีย์ส่วนตัวของหัวหอมและบอกให้เบราว์เซอร์ทราบถึงวิธีการตรวจสอบ - โดยทั่วไปแล้ว CA แบบกระจายอำนาจสำหรับที่อยู่. onion เนื่องจากเป็น ตัวตรวจสอบสิทธิ์อัตโนมัติ จากนั้นพวกเขาก็ไม่จำเป็นต้องเสแสร้งเรื่องไร้สาระเพื่อดูว่าพวกเขาสามารถอ่านอีเมลบนโดเมนได้หรือไม่และโดยทั่วไปจะส่งเสริมรูปแบบ CA ปัจจุบัน
เรายังสามารถจินตนาการถึงแบบจำลองของ ชื่อสัตว์เลี้ยง โดยที่ผู้ใช้สามารถบอกทอร์เบราว์เซอร์ของตนได้ว่าที่อยู่. ไอออนนี้ "คือ" Facebook หรือวิธีที่ตรงไปตรงมากว่านั้นคือการนำรายการบุ๊กมาร์กบริการที่ "รู้จัก" ซ่อนไว้ในเบราว์เซอร์ของทอร์เช่น CA ของเราเองโดยใช้โมเดล / etc / hosts แบบเก่า แนวทางดังกล่าวจะทำให้เกิดคำถามทางการเมืองว่าเราควรสนับสนุนไซต์ใด
ดังนั้นฉันจึงยังไม่ได้ตัดสินใจว่าจะนำการสนทนานี้ไปในทิศทางใด ฉันมีความเป็นน้ำหนึ่งใจเดียวกันกับ "เราสอนให้ผู้ใช้ตรวจสอบ https ดังนั้นอย่าสับสน" แต่ฉันยังกังวลเกี่ยวกับสถานการณ์ที่ไม่ราบรื่นซึ่งการได้รับการรับรองกลายเป็นขั้นตอนที่จำเป็นในการมีบริการที่มีชื่อเสียง แจ้งให้เราทราบหากคุณมีข้อโต้แย้งที่น่าสนใจอื่น ๆ สำหรับหรือต่อต้าน
ตอนที่ห้า: มีอะไรให้ทำบ้าง?
ทั้งในแง่ของการออกแบบและความปลอดภัย บริการที่ซ่อนอยู่ยังคงต้องการความรัก. เรามีแผนที่จะปรับปรุงการออกแบบ (ดู ข้อเสนอตท. 224) แต่เราไม่มีเงินทุนหรือนักพัฒนาเพียงพอที่จะทำให้สิ่งนั้นเกิดขึ้นได้ เราได้พูดคุยกับวิศวกรของ Facebook ในสัปดาห์นี้เกี่ยวกับความน่าเชื่อถือและความสามารถในการปรับขนาดของบริการที่ซ่อนอยู่และเรารู้สึกตื่นเต้นที่ Facebook กำลังพิจารณาที่จะพยายามพัฒนาเพื่อช่วยปรับปรุงบริการที่ซ่อนอยู่
และในที่สุดเมื่อพูดถึงการสอนผู้คนเกี่ยวกับคุณลักษณะด้านความปลอดภัยของเว็บไซต์. ion ฉันสงสัยว่า "บริการที่ซ่อนอยู่" ไม่ใช่วลีที่ดีที่สุดที่นี่อีกต่อไป เดิมเราเรียกสิ่งเหล่านี้ว่า "บริการระบุตำแหน่งที่ซ่อนอยู่" ซึ่งย่อมาจาก "บริการที่ซ่อน" อย่างรวดเร็ว แต่การปกป้องสถานที่ให้บริการเป็นเพียงคุณสมบัติด้านความปลอดภัยอย่างหนึ่งที่พวกเขามี บางทีเราควรมีการแข่งขันเพื่อจับฉลากชื่อใหม่สำหรับบริการที่ได้รับการคุ้มครองเหล่านั้น? แม้แต่บางสิ่งบางอย่างเช่น "บริการหัวหอม" จะดีกว่าถ้าพวกเขาบังคับให้ผู้คนเรียนรู้ว่าพวกเขาคืออะไร
ขอแสดงความยินดีกับบทความที่ยอดเยี่ยมโดยเฉพาะอย่างยิ่งสำหรับพวกเราที่อยู่ในโลกของ yupi ในอินเทอร์เน็ตนี้
มันง่ายมาก หากคุณเข้าสู่ระบบด้วยบัญชี Gmail หรือ Facebook หรือ บริษัท ใด ๆ ที่กล่าวถึงโดย Snowden คุณจะสูญเสียความเป็นส่วนตัว
เหมือนกับคนที่ใช้ TAIS และเข้าสู่ระบบผ่าน gmail และแสร้งทำเป็นไม่เปิดเผยตัวตนสิ่งเดียวที่พวกเขาจะทำคือตั้งข้อสงสัยและระบุชื่อผู้ใช้ของตน
เหมือนการอ่านไม่ใช่เรื่องของคุณเหรอ?
เกือบทุกคนพูดถึง Tor แต่ฉันไม่เคยเห็น i2p พูดถึงที่นี่หากคุณต้องการแสดงความคิดเห็นเกี่ยวกับเรื่องนี้
…หรือเป็นกับดักอันแสนหวานในการค้นหาว่าผู้ใช้ Tor รายใดเชื่อมต่อกับ Facebook ก่อนและไปยังบริการส่วนตัวหรือบริการที่ปลอดภัยอื่นในภายหลังเพื่อให้สามารถตรวจสอบข้อมูลและระบุตัวตนได้
ฉันบน Facebook หรือในรูปถ่ายขอบคุณ เขาเดินผ่านไป ฉันชอบพลัดถิ่นเป็นล้าน ๆ ครั้ง ไม่มีการเซ็นเซอร์
แต่มันไร้เดียงสาทั้ง TOR และ Facebook เป็นทุนจากคนคนเดียวกันหรือว่าพวกเขาคิดว่า TOR ลงทุนเพื่อเปิดเผยตัวตนของคนไร้เดียงสาที่ไม่รู้ว่าธุรกิจอยู่ที่ไหน
พวกเขาเป็นใบหน้าของเหรียญเดียวกัน ... พวกเขาต้องการความปลอดภัย? นั่นไม่ใช่จุดที่ถ่ายทำ
การรักษาความปลอดภัยจะได้รับจากโปรไฟล์ที่ผิดพลาดโปรไฟล์ที่คิดออกมาอย่างสมบูรณ์แบบและน่าเชื่อถือ แต่ที่ผิดพลาดและมักจะใช้แบบเดียวกันเป็นสิ่งที่เลวร้ายที่สุดที่อาจเกิดขึ้นกับ NSA หรือไม่ว่าจะเป็นใครก็ตามหากคุณสร้างโปรไฟล์และพวกเขา เชื่อเถอะ.
ฉันจะบอกว่าฉันไม่คิดว่าคุณเข้าใจ TOR ดี
ฉันจะบอกว่าในระบบใด ๆ ที่ต้องการเซิร์ฟเวอร์ระดับกลางเป็นไปได้ที่จะซื้อด้วยเงินดอลลาร์จากเจ้าของเซิร์ฟเวอร์นั้น
วิธีที่ดีที่สุดคือให้สิ่งที่พวกเขาต้องการโดยไม่ปิดบังอะไร แต่ให้โปรไฟล์ปลอมแก่พวกเขาและพวกเขาก็เชื่อ
สิ่งเดียวที่ทำให้ Facebook กังวลคือการสูญเสียลูกค้าเนื่องจากการเซ็นเซอร์ของบางประเทศนอกจากนี้ยังมีทางเลือกอื่นที่ดีกว่าเช่น torbook พลัดถิ่น ฯลฯ
แล้วอันนี้ล่ะ
http://www.opennicproject.org/
น่าสนใจเพราะมันเข้ากับปรัชญาของขบวนการ Freenet ได้อย่างง่ายดาย
ผมใช้งานมานาน ดี. ISP ของคุณไม่ทราบว่าคุณเห็นหน้าเว็บใด เจ้าของเซิร์ฟเวอร์เหล่านั้นไม่ได้บันทึกบันทึกของพวกเขาดังนั้นพวกเขาจึงไม่รู้เช่นกัน ทำให้คุณใกล้ชิดกับความเป็นส่วนตัวที่ต้องการ
มันไม่ทำงานอีกต่อไป?
สำหรับฉันมันยังโง่ที่จะใช้ TOR เพื่อเชื่อมต่อกับ facebook, …คุณถูกเซ็นเซอร์อะไรในประเทศของคุณ? นั่นคือสิ่งที่ผู้รับมอบฉันทะมีไว้สำหรับ Tor เป็นเครือข่ายที่ไม่เปิดเผยตัวตนที่จะไม่โพสต์สิ่งต่างๆด้วยชื่อของคุณสิ่งเดียวที่คุณจะประสบความสำเร็จคือตัวติดตาม facebook ติดตามไซต์. ion ทั้งหมดที่คุณเยี่ยมชม