Comments 81
При https насколько я знаю шифруется host заголовок, так что доступен будет лишь ip. А на одном айпишнике можно много сайтов повесить.
Много не повесишь, потому как нужно приземлить ssl сессию. А куда, можно понять по Host заголовку, который зашифрован. Отсюда 1 ip — 1 ssl http хост (возможно с субдоменами);
Уже давно нет.
Для решения проблемы «1 домен на 1 IP адрес» было сделано дополнение, которое передаёт незакодированное доменное имя.
Именно по этому имени web сервер понимает какой именно сертификат ему нужно использовать.
Для решения проблемы «1 домен на 1 IP адрес» было сделано дополнение, которое передаёт незакодированное доменное имя.
Именно по этому имени web сервер понимает какой именно сертификат ему нужно использовать.
SNI штука хорошая, не везде поддерживается;
* но не везде поддерживается
Хватит сказки рассказывать. Уже давно не найти такого места, где не поддерживается.
Chrome для iOS не поддерживает должным образом. Safari для iOS работает отлично.
Уважаемый, вы в какой параллельной вселенной живете?
«Internet explorer (all versions 6, 7, 8, 9) on Windows XP do not support SNI.»
stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers
Android 2.x
code.google.com/p/android/issues/detail?id=12908
«Internet explorer (all versions 6, 7, 8, 9) on Windows XP do not support SNI.»
stackoverflow.com/questions/5154596/is-ssl-sni-actually-used-and-supported-in-browsers
Android 2.x
code.google.com/p/android/issues/detail?id=12908
Где вы XP видели?
Я наблюдаю 0.3 %, а скольким долям процента из них ещё ssl потребуется… Эти два человека и нормальный браузер поставят, не убудет с них.
Кроме того, не читайте эту статью. IE9 на XP не бывает. Мало ли, в чём ещё они там наврали.
Я наблюдаю 0.3 %, а скольким долям процента из них ещё ssl потребуется… Эти два человека и нормальный браузер поставят, не убудет с них.
Кроме того, не читайте эту статью. IE9 на XP не бывает. Мало ли, в чём ещё они там наврали.
Welcome to hell — www.w3schools.com/browsers/browsers_os.asp
w3schools? Вы бы ещё на форчан посоветовали сходить, ей-богу
Но только в TLS, разве не?
Интересно, почему оно не передает доменное имя зашифрованным временным ключом, установленным по алгоритму Диффи — Хеллмана. Тогда бы атакующий знал только IP сайта, но не имя сайта.
Ага, вот только при включенном SNI заголовок Host: как раз и не шифруется.
Несколько странный опросник — для некоторых данных (аккаунты всего подряд, связанные с деньгами/карточками), о которых, если не вникать, даже как-то не думается, что там — http или https. А так — первый пункт.
а можно пускать трафик через vpn и жизнь становится проще и веселее
UFO just landed and posted this here
Смотря что именно. Что-то и открыто можно, работаю через https/ssh, когда хочется приватности — i2p.
Да какая же это инфографика? Это просто картинки.
А можно пользуясь случаем поинтересоваться — что есть любопытного в i2p, кроме самой технологии и идеалогии? Специфическая техническая литература, уютные чатики бородатых админов, например.
Первое впечатление — безлюдно и безжизненно, не появляется желание держать роутер постоянно.
freezone.i2p редко обновляется, но это можно сказать центральный ресурс в ру зоне
lenta.i2p под угрозой свертывания по причине нехватки времени у админа
hiddenchan.i2p борда. борда она и в африке борда, хотя вроде живая
silkroad еще активен судя по всему, но это не по нашу аудиторию
и вот как-то все
Можно в личку, но думаю многим будет интересно. Гуглятся живые сайты плохо.
Первое впечатление — безлюдно и безжизненно, не появляется желание держать роутер постоянно.
freezone.i2p редко обновляется, но это можно сказать центральный ресурс в ру зоне
lenta.i2p под угрозой свертывания по причине нехватки времени у админа
hiddenchan.i2p борда. борда она и в африке борда, хотя вроде живая
silkroad еще активен судя по всему, но это не по нашу аудиторию
и вот как-то все
Можно в личку, но думаю многим будет интересно. Гуглятся живые сайты плохо.
При использовании луковичной сети Tor без https картина следующая: хакер довольствуется только ip пользователя и знанием про сеть tor, тем же самым перебиваются его провайдер и тот злобный буратино из NSA, который слушает трафик до вхождения в сеть tor.
Далее появляются радостные чипполины, узлы Tor, которые тоже знают ровно столько же, за исключением последнего, который знает всё, кроме ip пользователя.
Из этой фразы можно сделать вывод, что промежуточный узел Tor (второй) знает IP пользователя, а это не так. На схеме при этом отмечено правильно.
NSA со своим PRISM работают напрямую с site.com(если то что утекло это правда). И пофику насколько защищен транспорт, все данные будут у NSA.
Да, к сожалению. Пользователи должны понимать, что эти ухищрения — не панацея. Если ты скачиваешь киношку, тогда тебя сложно найти, а если у тебя какие-то чувствительные данные, они тебе не принадлежат…
вот только киношку через TOR устанешь качать…
Для кино можно использовать VPN. Просто нужно понимать, что нужно создавать схемы такие, что некая «выгода» получаемая врагами/органами от вашей поимки будет заметно меньше средств, затраченных на эту поимку.
В случае с кино — выгода мала, а затраты велики.
И еще: Tor у меня выдает порядка 190 кб/сек, что я считаю приемлимым.
В случае с кино — выгода мала, а затраты велики.
И еще: Tor у меня выдает порядка 190 кб/сек, что я считаю приемлимым.
Во-первых, работают напрямую только с крупными сайтами.
А во-вторых, без ip адреса ничего сделать все равно не смогут, если вы используете например отдельную почту (на которую конечно же заходите только с тора) и не общаетесь с этого аккаунта со знакомыми из реала.
Да, конфиденциальность будет потеряна — но анонимность все равно останется.
А во-вторых, без ip адреса ничего сделать все равно не смогут, если вы используете например отдельную почту (на которую конечно же заходите только с тора) и не общаетесь с этого аккаунта со знакомыми из реала.
Да, конфиденциальность будет потеряна — но анонимность все равно останется.
Да, конфиденциальность будет потеряна — но анонимность все равно останется.
Тоесть на фейсбуке вы будете общаться с родителями под вымышленным именем, одноразовым почтовым адресом? И будете уверены что ваш Гугль не сдаст ваш IP по gmail адресу?
Проблема в том что в социалках, хочешь не хочешь, а все равно все будет известно. Поэтому с ними NSA и работает.
Тоесть на фейсбуке вы будете общаться с родителями под вымышленным именем, одноразовым почтовым адресом? И будете уверены что ваш Гугль не сдаст ваш IP по gmail адресу?
Проблема в том что в социалках, хочешь не хочешь, а все равно все будет известно. Поэтому с ними NSA и работает.
Использовать тор для общения с родителями в фейсбуке — мсье знает толк в извращениях.
Целевое предназначение тора — это сильная анонимность (возможно, самая сильная на данный момент). Зачем устраивать себе сложности и общаться по нему с родителями? Заведите для общения с родителями обычный аккаунт, и сидите там без тора.
Я же сказал, что почту для таких целей надо заводить отдельную и заходить на нее только с тора. Пусть сдает ip.
Целевое предназначение тора — это сильная анонимность (возможно, самая сильная на данный момент). Зачем устраивать себе сложности и общаться по нему с родителями? Заведите для общения с родителями обычный аккаунт, и сидите там без тора.
И будете уверены что ваш Гугль не сдаст ваш IP по gmail адресу?
Я же сказал, что почту для таких целей надо заводить отдельную и заходить на нее только с тора. Пусть сдает ip.
Просто не используйте социальные сети, раз уж Вам так важна анонимность.
Самый безопасный способ — это VPN.
Чем он безопаснее например тора + https?
тем, что через него можно любой трафик гнать (ICQ, FaceTime, SSH, FTP и так далее), а не только HTTP.
Через тор это все возможно, если заморочиться.
Да, скорость и удобство ниже, но зато никаких «логи хранятся в течении полугода и сразу же выдаются по решению суда».
программное обеспечение «лукового» прокси предоставляет SOCKS-интерфейс. Программы, работающие по SOCKS-интерфейсу, могут быть настроены на работу через сеть Tor, который, мультиплексируя трафик, направляет его через виртуальную цепочку Tor.
Да, скорость и удобство ниже, но зато никаких «логи хранятся в течении полугода и сразу же выдаются по решению суда».
Есть большое количество впн, которые не хранят логи.
У провайдера впна они все равно пишутся, о чем тут говорить?
Посоветуете что-либо надежное? А то этих vpn развелось, уже хрен поймешь кто за ними стоит. Или самому делать на серваке.
Советую. Правда только для iPhone/iPad.
Логи пишутся, но в крайне урезанном виде и только для обеспечения требований местного законодательства. Если Пентагон через этот VPN не взламывать, то никто никогда логи не увидит :-)
Логи пишутся, но в крайне урезанном виде и только для обеспечения требований местного законодательства. Если Пентагон через этот VPN не взламывать, то никто никогда логи не увидит :-)
Покупаете сервак за пять баксов в месяц и настраиваете сами.
PrivateInternetAccess — OpenVPN, сервера в разных странах, оплата биткойнами, говорят, что не хрянят логов более дня.
Намек в свою сторону понял :-) Чтобы инициировать решение норвежского суда, надо очень сильно постараться.
Провайдер знает сам факт использования тора. А впн может маскироваться под https. Плюс, никто не мешает использовать впн + тор + https. Или даже два впн сразу.
Никто не мешает, но с каждым дополнительным навешенным сверху протоколом задержки и избыточность растут.
В этом списке тор будет главным тормозом. У впнов скорость весьма приличная.
Да, тор тот ещё тормоз. Хотя я всё-таки говорил не про скорость, а про задержки в первую очередь. При работе через SSH, например, высокая скорость не очень важна, а вот рост задержек раздражает невыносимо. И вот задержка в канале таки вырастет с использованием VPN + TOR. Не знаю, насколько существенно — не тестировал.
Если ставить вопрос именно так — самый безопасный i2p. И трафик через него можно уже гнать почти любой. Правда в пределах i2p сети. Так что Ваше утверждение истинно только при дополнении «в большом интернете».
Я вот пытаюсь разобраться с вариантом VPN без HTTPS.
Я правильно понимаю, что крайне желательно, чтобы этим VPN-сервером кроме меня пользовались и другие? В противном случае можно будет однозначно соотнести меня и выходной IP этого VPN.
Я правильно понимаю, что крайне желательно, чтобы этим VPN-сервером кроме меня пользовались и другие? В противном случае можно будет однозначно соотнести меня и выходной IP этого VPN.
Проще будет использовать цепочку VPN.
Правильно понимаете, чем больше пользователей у сервиса, тем проще «затеряться» среди них.
Почему на картинках нет провайдеров на чипалинах (узлах тора)? На них и копы сидят. Подскажите пожалуйста, как работает тор: Если я инициирую через него соединение с вебсервером, пройдет ли цепочка инициирований соединений на всех узлах цепочки? Если так, то все копы мира (взятые вместе, сообща) сразу поймают мою связь с вебсервером. Или же в торе все изначально повсякому соединены и только гоняют сам трафик в перемешку с хорошим, годным, громкошумящим мусором?
По идее, копы, прицепившиеся к чипполине, видят то же, что и он.
Внутренние узлы не знают, что за трафик идёт и куда.
Внутренние узлы не знают, что за трафик идёт и куда.
Проблема (для копов) в том, что узлов 3, и слоев шифрования 3.
Если рассматривать, что знает каждый из узлов:
0. (Отправитель): 3 узла, место назначения, данные.
1. Отправитель, следующее звено, все остальное шифровано.
2. Предыдущее звено, следующее звено, все остальное шифровано.
3. Предыдущее звено, место назначения, данные.
4. (Место назначения) Последнее звено, данные.
В обратную сторону все работает почти также.
Теперь рассмотрим случай, когда два человека (1.1.1.1 и 2.2.2.2) пользуются цепочками с одним и тем же средним узлом, и разными входными и выходными.
1.1.1.1 отправляет то, что указано в пункте 1 входному узлу 1, 2.2.2.2 делает то же самое, только входному узлу 2. Оба узла снимают свой слой шифрования.
Оба входных узла отправляют данные среднему узлу, он снимает свой слой шифрования. После чего отправляет выходным узлам.
Так вот, выходной узел, как бы сильно его не прослушивали не может узнать отправителя, средний — отправителя, место назначения и данные, а входной — место назначения и данные.
Если рассматривать, что знает каждый из узлов:
0. (Отправитель): 3 узла, место назначения, данные.
1. Отправитель, следующее звено, все остальное шифровано.
2. Предыдущее звено, следующее звено, все остальное шифровано.
3. Предыдущее звено, место назначения, данные.
4. (Место назначения) Последнее звено, данные.
В обратную сторону все работает почти также.
Теперь рассмотрим случай, когда два человека (1.1.1.1 и 2.2.2.2) пользуются цепочками с одним и тем же средним узлом, и разными входными и выходными.
1.1.1.1 отправляет то, что указано в пункте 1 входному узлу 1, 2.2.2.2 делает то же самое, только входному узлу 2. Оба узла снимают свой слой шифрования.
Оба входных узла отправляют данные среднему узлу, он снимает свой слой шифрования. После чего отправляет выходным узлам.
Так вот, выходной узел, как бы сильно его не прослушивали не может узнать отправителя, средний — отправителя, место назначения и данные, а входной — место назначения и данные.
А вот смотри, что если копы сидят на всех-всех айпиадресах, слушают и записывают время, отправителя и назначение всех запросов на открытия tcp-соединения. А потом когда-нибудь случайно находят айпи противозаконного сайта и:
смотрят кто к серверу подключился, потом смотрят кто к тому подключившемуся подключился в туже секунду, потом к тому тому, ..., и так доходят до первого, который полез в ту самую секунду (инициатор цепочки). Потом прикидывают по всему массиву данных, что этот «инициатор» вообще часто туда лазил через какие-то цепочки и начинают уже конкретно его слушать.
Как такой расклад?
смотрят кто к серверу подключился, потом смотрят кто к тому подключившемуся подключился в туже секунду, потом к тому тому, ..., и так доходят до первого, который полез в ту самую секунду (инициатор цепочки). Потом прикидывают по всему массиву данных, что этот «инициатор» вообще часто туда лазил через какие-то цепочки и начинают уже конкретно его слушать.
Как такой расклад?
Ну, конкретно предложенная Вами атака ОЧЕНЬ сложно осуществима, сразу по нескольким причинам:
1. В теории к серверу могут в один и тот же момент подключиться очень много пользователей.
2. Для этого надо захватить очень большую часть сети.
Но данному типу атак (тайминг-атакам) тор действительно (был) подвержен, но теперь там как-то вносятся рандомные задержки в сеть.
Вот сейчас в тред нужен кто-то, кто как-нибудь связан с разработкой тора.
1. В теории к серверу могут в один и тот же момент подключиться очень много пользователей.
2. Для этого надо захватить очень большую часть сети.
Но данному типу атак (тайминг-атакам) тор действительно (был) подвержен, но теперь там как-то вносятся рандомные задержки в сеть.
Вот сейчас в тред нужен кто-то, кто как-нибудь связан с разработкой тора.
А что мешает провайдерам запретить трафик tor, ежели они про него знают?
По-крупному: неэффктивность — будет тор2. По-простому, жадность им мешает — клиенты разбегутся, а самим им наплевать на этот тор, бессмыслица.
tor2 без признаков, позволяющих определить что это tor2?
А зачем тогда такие признаки есть у tor, если без них обойтись можно?
А провайдеры, горько плача о потерянных клиентах, запретят что угодно, если к ним придут законодатели и в принудительном порядке предложат обязательный к выполнению алгоритм…
А зачем тогда такие признаки есть у tor, если без них обойтись можно?
А провайдеры, горько плача о потерянных клиентах, запретят что угодно, если к ним придут законодатели и в принудительном порядке предложат обязательный к выполнению алгоритм…
Пожалуйста, используйте рекомендованные IANA примеры доменов:
example.com
example.net
example.org
example.edu
example.com
example.net
example.org
example.edu
Sign up to leave a comment.
Инфографика — Tor, HTTPS и безопасность