The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от opennews (??), 18-Мрт-20, 23:27 
Представлены корректирующие выпуски инструментария Tor ( 0.3.5.10, 0.4.1.9, 0.4.2.7, 0.4.3.3-alpha), используемого для организации работы анонимной сети Tor. В новых версиях устранено две уязвимости:...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52568

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +3 +/
Сообщение от Аноним (3), 19-Мрт-20, 00:40 
Режимы Safe и Safest должны быть реализованы в Tor Browser нативно, а не в виде стороннего дополнения.
Ответить | Правка | Наверх | Cообщить модератору

9. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +1 +/
Сообщение от Аноним (9), 19-Мрт-20, 08:47 
Значительная доля вины тут лежит на разрабах Firefox и TorBrowser.

Разрабы файрфокса завязали некоторые внутренние компоненты на тот же доступ к JS, который контролируется javascript.enabled, так что если выставить в false - полбраузера не работает, включая pdf.js. Открывается пустое окно, где даже кнопка "скачать" не работает. Результат один - народ отключит safest, как только увидит, что штатные функции браузера сломаны им. Но это в принципе пофиг - те, кому нужно качать PDFы качают и открывают их нормальными PDF-просмотрщиками не смотря на все предупреждения TorBrowser о том, что в pdfках могут быть цифровые подписи, которые просмотрщик в большинстве случаев проверит на отзыв ключа, если это не отключено, проведя деанон. Можно было бы просто выключить pdf.js, это мало что поменяло бы. Специально или нет так сделано - сами думайте.

Разрабы торбраузера вместо того, чтобы это исправить, например вывести внутренние компоненты из под javascript.enabled, если надо, то поправив С++ код, положились на говnoscript. Специально или нет так сделано - сами думайте.

Теперь про noscript. Положиться на CSP для блокировки JS небезопасно, ведь
* сайты сами CSP определяют, тут либо всю csp от сайта ффтoпку, либо сливать.
* в Firefox аддоны переопределяют CSP друг друга, и Могилла отказалась делать слитие CSP.

Поэтому единственный вариант - это вмешиваться в траффик, парсить  HTML и XML и вырезать всё, что может быть JS. При этом API для парсинга HTML Могилла не предоставляет. Как не предоставляет API доя того, чтобы вклиниться между веб-страницей и движком браузера и решать, какие функции доступны.

Учитывая в добавок все предыдущие позиции Могиллы, а именно удаление отключения JS из GUI, блокировку доступа в about:config на fenix и удаление настройки для отключения воркеров, всё встаёт на свои места: становится понятно, что блокировка компонентов веб-страниц и опасных функций противоречит долговременной стратегии Могиллы и её основных спонсоров и будет выпиливаться.

К тому же Maone - вообще очень мутный тип, не внушающий доверия.  Список претензий к его технополитическим решениям, таким как зашивание и активация по-умолчанию белого списка, в рамках разработки noscript можно найти в его репозитории.

Но виноват во всём, разумеется, TorProject. Это они приняли решение не патчить эти аспекты Firefoxа, если надо, переписав его половину, это они положились на NoScript, это они выбрали tradeof в пользу работы малонужных функций браузера в ущерб безопасности, это они явно не предупредили каждого пользователя, что ну не смогли они обеспечить защиту от включения JavaScript.

Ответить | Правка | Наверх | Cообщить модератору

11. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Аноним (11), 19-Мрт-20, 10:03 
> положились на NoScript

Который уже отваливался, когда сертификат Мозиллы протух.
А еще торовцы стали палить систему в JS (User Agent): Win, Lin и Mac.

Ответить | Правка | Наверх | Cообщить модератору

4. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Аноним (4), 19-Мрт-20, 04:32 
>автоматическое обновление NoScript

Что это за шерето? Достаточно добавить "нужное" исправление в noscript (автор которого уже замечен за созданием и рекламой спайвари) и мамкины анонимы дружно лососнут. Никогда не понимал, зачем они какую-то левую дрянь пихают. Учитывая, сколько уязвимостей находят как раз в этом "левом" компоненте, это видимо ответ.

Ответить | Правка | Наверх | Cообщить модератору

5. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +2 +/
Сообщение от КО (?), 19-Мрт-20, 06:19 
Там списки настраиваются и их наверняка проверяют
Ответить | Правка | Наверх | Cообщить модератору

19. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Lexemail (??), 19-Мрт-20, 21:17 
Да тут в целом ситуация, достойная выступлений лучших юмористов.

Ну сколько лет уже существует и этот тор и браузер. Сколько раз рассказывали, как оно всё Э-элементарно работает, как это всё просто и невероятно безопасно.. годы идут, а цирк с клоунами и совершенно нелепыми багами/уязвимости так никуда и не девается.

Ответить | Правка | Наверх | Cообщить модератору

10. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  –1 +/
Сообщение от Аноним (9), 19-Мрт-20, 09:13 
Что такое шерето? Рeшeтo что-ли?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

13. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +1 +/
Сообщение от Аноним (13), 19-Мрт-20, 11:05 
Это чтобы опеннетовский фильтр не чудил. Он ещё бывает на слово "космонавт" реагирует.
Ответить | Правка | Наверх | Cообщить модератору

16. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Аноним (16), 19-Мрт-20, 11:38 
Он даже некоторые фамилии считает матом.
Ответить | Правка | Наверх | Cообщить модератору

21. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Аноним (9), 20-Мрт-20, 08:50 
Это понятно. Непонятно, зачем слова коверкать, вместо того, чтобы нормально написать омоглифами.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

8. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от псевдонимус (?), 19-Мрт-20, 07:22 
Пример качественного проекта с нормально поддерживаемыми ветками.
Ответить | Правка | Наверх | Cообщить модератору

12. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Аноним (11), 19-Мрт-20, 10:05 
DoS уязвимость еще в прошлом году же устранялась.
Ответить | Правка | Наверх | Cообщить модератору

17. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +1 +/
Сообщение от Аноним (17), 19-Мрт-20, 11:39 
Они новую добавили
Ответить | Правка | Наверх | Cообщить модератору

14. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +1 +/
Сообщение от Аноним (-), 19-Мрт-20, 11:11 
>рекомендуется на время в about:config полностью запретить использованием в браузере JavaScript через изменение параметра javascript.enabled в about:config.

Года два назад здесь предлагал это делать, так местные "умники" меня заминусовали.

Ответить | Правка | Наверх | Cообщить модератору

15. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  –1 +/
Сообщение от Аноним (16), 19-Мрт-20, 11:34 
Цензура - это фашизм.
Ответить | Правка | Наверх | Cообщить модератору

18. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Lexemail (??), 19-Мрт-20, 21:10 
Цензура - это цензура, фашизм - это фашизм. Ваш кэп.
Ответить | Правка | Наверх | Cообщить модератору

20. "Обновление Tor 0.3.5.10, 0.4.1.9 и 0.4.2.7 с устранением DoS..."  +/
Сообщение от Аноним (20), 20-Мрт-20, 05:02 
В этот раз неудачно.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру