Ngayon nagsiwalat ang Facebook ang kanyang nakatagong serbisyo na nagpapahintulot sa mga gumagamit na ma-access ang iyong website nang mas maingat. Tinanong kami ng mga gumagamit at mamamahayag para sa aming mga sagot; narito ang ilang mga puntos upang matulungan kang maunawaan ang aming opinyon.
Unang bahagi: Oo, ang pagbisita sa Facebook sa Tor ay hindi isang kontradiksyon
Hindi ko namalayan na dapat kong isama ang seksyong ito, hanggang ngayon narinig ko mula sa isang mamamahayag na umaasang magkaroon ng isang quote mula sa akin kung bakit hindi man lang gumagamit ng Facebook ang mga gumagamit ng Tor. Ang pag-iwan sa mga (napaka-mahalaga pa rin) na mga katanungan tungkol sa mga gawi sa privacy ng Facebook, ang kanilang nakakapinsalang mga patakaran sa real-name, at kung dapat nilang sabihin sa iyo ang anuman tungkol sa iyo, ang susi dito ay iyon ang pagkawala ng lagda ng pangalan ay hindi lamang pagtatago mula sa iyong mga patutunguhan.
Walang dahilan upang ipaalam sa iyong ISP kung kailan o kung bumibisita ka sa Facebook. Walang dahilan para sa upstream ISP ng Facebook, o anumang ahensya na sinusubaybayan ang Internet, upang malaman kung kailan o kung bumibisita sila sa Facebook. At kung pipiliin mong sabihin sa Facebook ang tungkol sa iyo, wala pa ring dahilan upang awtomatikong tuklasin nila ang lungsod na iyong kinaroroonan habang ginagawa ito.
Gayundin, dapat nating tandaan na may ilang mga lugar kung saan hindi ma-access ang Facebook. Nakipag-usap ako sa isang tao mula sa seguridad sa Facebook ilang oras ang nakakaraan na nagsabi sa akin ng isang nakakatawang kwento. Nang una niyang makilala si Tor, kinamumuhian niya ito at kinatakutan ito sapagkat "malinaw" niyang inilaan upang mapahina ang modelo ng negosyo na malaman ang lahat tungkol sa mga gumagamit nito. Pagkatapos ay biglang hinarangan ng Iran ang Facebook, isang mahusay na tipak ng populasyon ng Persia sa Facebook ang lumipat sa pag-access sa Facebook sa pamamagitan ng Tor, at siya ay naging isang tagahanga ng Tor dahil kung hindi man ang mga gumagamit ay maaaring na-hack. Ang iba pang mga bansa tulad ng Tsina ay sumunod sa isang katulad na pattern pagkatapos nito. Ang paglipat sa kanyang isip sa pagitan ng "Tor bilang isang tool sa privacy upang payagan ang mga gumagamit na kontrolin ang kanilang sariling data" at "Tor bilang isang tool sa komunikasyon upang bigyan ang mga gumagamit ng kalayaan na pumili kung aling mga site ang bibisitahin" ay isang mahusay na halimbawa ng ang pagkakaiba-iba ng ginagamit ni TorAnuman ang iniisip mo tungkol sa kung para saan ang Tor, ginagarantiyahan kong mayroong isang tao na ginagamit ito para sa isang bagay na hindi mo pa nasasaalang-alang.
Ikalawang bahagi: masaya kaming makita ang isang mas malawak na pag-aampon ng mga nakatagong serbisyo
Sa palagay ko mahusay para sa Tor na nagdagdag ang Facebook ng isang .onion address. Mayroong ilang mga nakakahimok na mga kaso ng paggamit para sa mga nakatagong serbisyo: halimbawa sa mga inilarawan sa «gamit ang mga nakatagong serbisyo ni Tor para sa ikabubuti«Pati na rin ang paparating na desentralisadong mga tool sa chat tulad ng Ricochet kung saan ang bawat gumagamit ay isang nakatagong serbisyo, kaya walang gitnang punto upang maniktip upang makatipid ng data. Ngunit hindi namin gaanong naisapubliko ang mga halimbawang ito, lalo na kung ihahambing sa publisidad na may halimbawa ang "Mayroon akong isang website na nais ng gobyerno na isara" sa mga nagdaang taon.
Ang mga nakatagong serbisyo nagbibigay sila ng iba't ibang mga kapaki-pakinabang na katangian ng seguridad. Ang una - at ang isa na pinaka iniisip - dahil ang disenyo ay gumagamit Mga Tor circuit, mahirap tuklasin kung saan matatagpuan ang serbisyo sa mundo. Ngunit ang pangalawa, dahil ang address ng isang serbisyo ay ang hash ng iyong susi, sila ay nagpapatunay sa sarili: kung nagta-type sila sa isang naibigay na .onion address, ginagarantiyahan ng iyong Tor client na talagang nagsasalita ito sa serbisyo na alam ang pribadong key na tumutugma sa address. Ang isang mahusay na pangatlong tampok ay ang proseso ng pagtagpo ay nagbibigay ng end-to-end na pag-encrypt, kahit na ang trapiko sa antas ng application ay hindi naka-encrypt.
Kaya't nasasabik ako na ang paglipat sa Facebook na ito ay makakatulong na magpatuloy na buksan ang isip ng mga tao kung bakit nais nilang mag-alok ng isang nakatagong serbisyo, at matulungan ang iba na mag-isip ng higit pang mga bagong paggamit para sa mga nakatagong serbisyo.
Ang isa pang magandang implikasyon dito ay ang Facebook na nangangako na seryosohin ang mga gumagamit nito ng Tor. Daan-daang libo ng mga tao ang matagumpay na gumagamit ng Facebook sa Tor sa loob ng maraming taon, ngunit sa edad ngayon ng mga serbisyo tulad ng Wikipedia na piniling hindi tanggapin ang mga kontribusyon mula sa mga gumagamit na nagmamalasakit sa privacyNakakapresko at nakasisigla na makita ang isang malaking website na nagpapasya na okay para sa mga gumagamit nito na nais ang higit na seguridad sa katawan.
Bilang isang addendum sa optimismong iyon, nakalulungkot kung ang Facebook ay nagdagdag ng isang nakatagong serbisyo, may problema sa mga troll, at nagpasyang pigilan ang mga gumagamit ng Tor mula sa paggamit ng kanilang dating address. https://www.facebook.com/. Kaya dapat tayong maging mapagbantay sa pagtulong sa Facebook na patuloy na payagan ang mga gumagamit ng Tor na i-access ang mga ito sa pamamagitan ng anumang address.
Ikatlong bahagi: ang iyong walang kabuluhang address ay hindi nangangahulugang natapos na ang mundo
Ang pangalan ng iyong nakatagong serbisyo ay "facebookcorewwwi.onion". Para sa pagiging hash ng isang pampublikong susi, siguradong hindi ito random. Maraming tao ang nagtatanong kung paano nila magagawa lakas ng loob sa buong pangalan.
Ang maikling sagot ay para sa unang kalahati ("facebook"), na kung saan ay 40 piraso lamang, paulit-ulit silang nakabuo ng mga susi hanggang sa makuha nila ang ilan na ang unang 40 piraso ng hash ay tumugma sa gusto nilang string.
Pagkatapos ay mayroon silang ilang mga susi na ang mga pangalan ay nagsimula sa "facebook," at tiningnan nila ang ikalawang kalahati ng bawat isa upang piliin ang mga may binibigkas at samakatuwid hindi malilimutang mga pantig. Ang may "corewwwi" ay tila pinakamahusay sa kanila - nangangahulugang maaari silang sumama sa a Kasaysayan kung bakit ito ay isang makatuwirang pangalan na gagamitin ng Facebook - at pinuntahan nila siya.
Kaya upang linawin, hindi nila magagawang eksaktong maisagawa muli ang pangalang ito kung nais nila. Maaari silang gumawa ng iba pang mga hash na nagsisimula sa "facebook" at nagtatapos sa binibigkas na mga pantig, ngunit hindi iyon malupit na puwersa sa buong pangalan ng nakatagong serbisyo (lahat ng 80 piraso). Para sa mga nais pang galugarin ang matematika, basahin ang tungkol sa «atake sa kaarawan«. At para sa mga nais malaman (mangyaring tulungan!) Tungkol sa mga pagpapabuti na nais naming gawin sa mga nakatagong serbisyo, kabilang ang mas malakas na mga password at pangalan, tingnan ang «ang mga nakatagong serbisyo ay nangangailangan ng pagmamahal"at ang panukalang Tor 224.
Ika-apat na bahagi: Ano ang iniisip namin tungkol sa isang sertipiko ng https para sa isang .onion address?
Ang Facebook ay hindi lamang naglagay ng isang nakatagong serbisyo. Nakakuha rin sila ng isang sertipiko ng https para sa kanilang nakatagong serbisyo, at ito ay nilagdaan ng Digicert kaya't tatanggapin ito ng kanilang mga browser. Ang desisyon na ito ay gumawa ng ilan masiglang talakayan sa komunidad ng CA / Browser, na nagpapasya kung anong uri ng mga pangalan ang maaaring magkaroon ng opisyal na mga sertipiko. Ang talakayan na iyon ay nagpapatuloy pa rin, ngunit ito ang aking maagang pananaw tungkol dito.
Para sa: Kami, ang komunidad ng seguridad sa Internet, nagtuturo sa mga tao na kinakailangan ang https at nakakatakot ang http. Kaya makatuwiran na nais ng mga gumagamit na makita ang string na "https" sa harap.
Con: Ang .onion handshake ay karaniwang nagbibigay sa lahat ng iyon nang libre, kaya sa pamamagitan ng paghihikayat sa mga tao na bayaran ang Digicert pinapalakas namin ang modelo ng negosyo sa sertipikasyon kung marahil ay dapat nating ipagpatuloy ang pagpapakita ng isang kahalili.
Sa pabor: Ang https ay talagang nag-aalok ng kaunti pa, sa kaso kung saan ang serbisyo (ang sakahan ng server ng Facebook) ay wala sa parehong lugar tulad ng programa ng Tor. Tandaan na ito ay hindi isang kinakailangan na ang web server at ang proseso ng Tor ay nasa parehong machine, at sa isang kumplikadong pagsasaayos tulad ng Facebook marahil ay hindi sila dapat. Maaaring magtalo ang isa na ang huling milyang ito ay nasa loob ng iyong corporate network, kaya sino ang nagmamalasakit kung hindi ito naka-encrypt, ngunit sa palagay ko ang pariralang "idinagdag at tinanggal doon ay" magtatapos sa pagtatalo na iyon.
Kahinaan: Kung ang isang site ay nakakakuha ng isang sertipiko, karagdagang ito ay magpapatibay sa mga gumagamit na ito ay "kinakailangan", at pagkatapos ay magsisimulang magtanong ang mga gumagamit ng iba pang mga site kung bakit wala sila. Nag-aalala ako na nagsisimula ang isang libangan kung saan kailangan mong magbayad ng pera sa Digicert upang magkaroon ng isang nakatagong serbisyo o hindi nila iisipin na kahina-hinala ito - lalo na't ang mga nakatagong serbisyo na pinahahalagahan ang kanilang pagkawala ng lagda ay mahihirapan magkaroon ng isang sertipiko.
Ang isang kahalili ay sasabihin sa Tor Browser na .onion address na may https ay hindi karapat-dapat sa isang nakakatakot na babala. Ang isang mas maselan na diskarte sa direksyong iyon ay upang magkaroon ng isang paraan para sa isang nakatagong serbisyo upang makabuo ng sarili nitong sertipiko ng https na naka-sign kasama ang pribadong sibuyas na sibuyas, at sabihin sa Tor Browser kung paano i-verify ang mga ito - karaniwang isang desentralisadong CA para sa .onion address, dahil sila ay mga auto-authenticator. Pagkatapos hindi nila kakailanganin na dumaan sa kalokohan ng pagpapanggap upang makita kung makakabasa sila ng mga email sa domain, at sa pangkalahatan ay isinusulong ang kasalukuyang modelo ng CA.
Maaari rin nating maiisip ang isang modelo ng mga pangalan ng alaga kung saan masasabi ng gumagamit ang kanilang Tor Browser na ang .onion address na "ay" Facebook. O ang mas prangkang diskarte ay upang magdala ng isang listahan ng "kilalang" mga nakatagong bookmark ng serbisyo sa Tor Browser - tulad ng aming sariling CA, gamit ang luma / etc / host na modelo. Ang pamamaraang iyon ay magpapalaki ng katanungang pampulitika kung aling mga site ang dapat nating suportahan.
Kaya't hindi ko pa napagpasyahan kung aling direksyon ako sa palagay ay dapat gawin. Nakikiisa ako sa "tinuturo namin sa mga gumagamit na suriin ang https, kaya huwag nating lituhin sila", ngunit nag-aalala din ako tungkol sa madulas na sitwasyon kung saan ang pagkuha ng sertipikasyon ay nagiging isang kinakailangang hakbang upang magkaroon ng kagalang-galang na serbisyo. Ipaalam sa amin kung mayroon kang anumang iba pang mga nakakahimok na argumento para sa o laban.
Ikalimang Bahagi: Ano ang Kaliwa na Gagawin?
Sa mga tuntunin ng parehong disenyo at kaligtasan, ang mga nakatagong serbisyo ay nangangailangan pa rin ng pagmamahal. Mayroon kaming mga plano para sa pinahusay na mga disenyo (tingnan ang panukalang Tor 224) ngunit wala kaming sapat na pondo o mga developer upang maganap iyon. Pinag-uusapan namin ang ilang mga inhinyero sa Facebook sa linggong ito tungkol sa pagiging maaasahan at kakayahang sumukat ng nakatagong serbisyo, at nasasabik kami na isinasaalang-alang ng Facebook ang pagsisikap sa pag-unlad na makakatulong mapabuti ang mga nakatagong serbisyo.
At sa wakas, nagsasalita ng pagtuturo sa mga tao tungkol sa mga tampok sa seguridad ng mga .onion site, nagtataka ako kung ang "mga nakatagong serbisyo" ay hindi na ang pinakamahusay na parirala dito. Orihinal na tinawag namin silang "nakatagong mga serbisyo sa lokasyon", na mabilis na pinaikling maging "mga nakatagong serbisyo." Ngunit ang pagprotekta sa lokasyon ng serbisyo ay isa lamang sa mga tampok sa seguridad na mayroon sila. Marahil ay dapat magkaroon tayo ng isang paligsahan upang mai-raffle ang isang bagong pangalan para sa mga protektadong serbisyo? Kahit na ang isang bagay tulad ng "mga serbisyo sa sibuyas" ay maaaring maging mas mahusay kung pipilitin nila ang mga tao na malaman kung ano sila.
Binabati kita sa isang mahusay na artikulo lalo na para sa atin sa mundo ng yupi sa Internet na ito
Ito ay sobrang simple. Kung nag-log in ka gamit ang isang gmail o facebook account o alinman sa mga kumpanyang nabanggit ni Snowden, mawala sa iyo ang pagkawala ng lagda ng iyong pagkawala ng lagda.
Ito ay tulad ng isang taong gumagamit ng TAIS at pag-log in sa gmail at pagpapanggap na hindi nagpapakilala, ang tanging bagay na gagawin nila ay ang pagtaas ng mga hinala at ipahiwatig ang kanilang username.
Tulad ng pagbabasa ay hindi bagay sa iyo, ha?
Halos lahat ay nagsasalita tungkol sa Tor ngunit hindi ko nakita ang nabanggit dito, kung nais mong bigyan kami ng iyong opinyon tungkol dito.
... O ito ay isang matamis na bitag upang malaman kung aling Tor ang gumagamit na kumokonekta sa Facebook muna at sa isa pang pribado o ligtas na serbisyo sa paglaon, upang ang data ay maaaring tawiran at makilala.
Ako sa Facebook o sa larawan, salamat. Siya ay pumasa. Mas gusto ko ang Diaspora ng milyun-milyong beses. Ni may censorship.
Ngunit ito ba ay wala silang muwang, ang parehong TOR at Facebook ay pinondohan ng parehong mga tao, o naisip nila na ang TOR ay namumuhunan para sa pagkawala ng lagda ng mga walang muwang na hindi napagtanto kung nasaan ang negosyo.
Ang mga ito ay ang mukha ng parehong barya ... gusto nila ng seguridad? mabuti na hindi kung saan napupunta ang mga pag-shot.
Ang seguridad ay ibibigay ng isang maling profile, isang perpektong naisip at kapani-paniwala na profile, ngunit mali at palaging gumagamit ng pareho, ay ang pinakamasamang bagay na maaaring mangyari sa NSA o kung sino man, kung naimbento mo ang isang profile at naniniwala sila .
Sasabihin ko lang na sa tingin ko hindi mo naintindihan ng mabuti ang TOR.
Sasabihin ko lamang na sa anumang system na nangangailangan ng isang intermediate server, posible na bumili ng dolyar mula sa mga may-ari ng server na iyon.
Ang pinakamahusay na paraan ay upang bigyan sila ng gusto nila nang hindi itinatago ang anumang bagay, ngunit ibigay ito sa kanila ng isang pekeng profile at naniniwala sila.
Ang nag-aalala lamang sa Facebook ay ang pagkawala ng mga customer dahil sa pag-censor ng ilang mga bansa, mayroon ding mas mahusay na mga kahalili halimbawa ng torbook, diaspora, atbp.
at paano ang isang ito dito
http://www.opennicproject.org/
Kagiliw-giliw, dahil madali itong umaangkop sa pilosopiya ng kilusang Freenet.
Matagal ko na itong ginagamit. Buti nalang Hindi alam ng iyong ISP kung aling mga web page ang nakikita mo. Ang mga may-ari ng mga server ay hindi pinapanatili ang kanilang mga tala, kaya hindi nila rin alam. Dinadala ka nito ng napakalapit sa nais na privacy.
Hindi na ito gumagana?
Para sa akin nakakaloko pa rin ang paggamit ng TOR upang kumonekta sa facebook,… ano ang nai-censor sa iyong bansa? para doon ang mga proxy. Ang Tor ay isang network para sa pagkawala ng lagda upang hindi mag-post ng mga bagay gamit ang iyong pangalan, ang tanging bagay na makakamtan mo ay sinusubaybayan ng mga tagasubaybay ng facebook ang lahat ng mga .onion site na iyong binisita.