/ca/ - Crypto-Anarchism

Криптоанархизм, Шифропанк, Практическая информационная безопасность

Posting mode: Reply

Check to confirm you're not a robot
Name
Email
Subject
Comment
Password
Drawing x size canvas
File(s)

Remember to follow the rules

Max file size: 350.00 MB

Max files: 5

Max message length: 4096

Manage Board | Moderate Thread

Return | Catalog | Bottom

Expand All Images


(73.53 KB 1200x725 1537057845745.png)
Anonymous 09/16/2018 (Sun) 16:07:45 [Preview] No. 556
Здесь обсуждаем компрометацию Tor Browser и что с ней делать.

Что имеем:
https://blog.torproject.org/comment/277025#comment-277025

- Версия 7.х со слов неких "эксплоит-брокеров" имеет уязвимость (возможно, вброс)
https://www.theregister.co.uk/2018/09/10/torched_zerodium_drops_exploit_for_version_7_of_anonymous_browser/

- Обновления автоматическии устанавливаются без каких-либо оповещений что даёт возможность встроить троян при компрометации организации, разрабатывающей браузер

- В версии 8.0 запрещено менять Tor Circuit

- В версии 8.0 при перезагрузке сбрасываются настройки NoScript в положение "js активирован"


Anonymous 09/16/2018 (Sun) 16:40:50 [Preview] No.557 del
>Обновления автоматическии устанавливаются
Выключи автоматическое обновление в настройках
>В версии 8.0 запрещено менять Tor Circuit
Нажми на кнопку слева от адреса страницы с замком, там можно сменить Tor Circuit

Для глупых вопросов есть специальный тред.


Anonymous 09/16/2018 (Sun) 17:07:28 [Preview] No.558 del
>>557
Отключил обновления в настройках,но тор все равно обновился...


Anonymous 09/16/2018 (Sun) 22:46:15 [Preview] No.570 del
>>558
Тебе нужно успеть сменить настройки, пока он не скачал обновление(а скачивает он быстро), иначе тор браузер обновится.
Но лучше не использовать старую версию.


Anonymous 09/17/2018 (Mon) 18:04:57 [Preview] No.589 del
>>570
Чем лучше?


Anonymous 09/22/2018 (Sat) 06:06:31 [Preview] No.654 del
Лисоговно опять скрыто устанавливает дополнения для сбора телеметрии.
https://habr.com/post/424065/


Anonymous 09/22/2018 (Sat) 17:57:16 [Preview] No.656 del
Так-с, так-с, в 8.0.1 вернули виндовый UA в HTTP как было, а в window.navigator по-прежнему раскрывается реальная ОС. Ну вот не дебилы ли?

Всё, теперь только на всяких маргинальных бордах через тор аутировать, даже крипту не поменять на поголовно заскриптованных обменниках.


Anonymous 09/22/2018 (Sat) 19:43:45 [Preview] No.662 del
>>654
Где результаты-то посмотреть?


Anonymous 09/22/2018 (Sat) 21:00:50 [Preview] No.667 del
>>656
Тоже хотел написать. Надо багрепорт отправлять!
Причем в 8.0 проблема просто решалась установкой расширения, где менялся и navigator.

А сейчас на винде в 8.0.1:
UA в HTTP:
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0
UA в javascript:
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0

Теперь для тора на винде юзерагенты различаются в зависимости от способа их получения!

Нужно либо самостоятельно править код этих расширений для изменения UA только в navigator, либо сидеть без скриптов. Или иначе уникальный фингерпринт. Сделаешь с помощью готового расширения - будет хуже, чем просто ходить с линуксом и скриптами. Будешь такой один.
И главное, большинство юзеров не выключают скрипты! У них можно дальше узнавать реальную ОС. Мозилла устроила просто прекрасную подлянку! Преднамеренно или нет - не важно. Так ещё разработчики тор браузера исправить нормально не могут!

Интересная статья про историю внедрения privacy.resistfingerprinting:
https://www.ghacks.net/2018/03/01/a-history-of-fingerprinting-protection-in-firefox/
Там приводится ссылка на багрепорт:
https://bugzilla.mozilla.org/show_bug.cgi?id=1409269
(да, до этого там был другой багрепорт про мак, но изменения произошли именно из-за этого)
Все изменения с юзерагентами сделаны, потому что реальная ОС может утечь благодаря фингерпринту по TCP/IP. Но утекает ОС из конца цепочки прокси, можете проверить(большинство выходных нод на линуксе, поменяйте цепочку, там будет старая версия ядра или FreeBSD): https://browserleaks.com/ip

А значит, эта фича "отсутствия конфликтов различных методов для определения ОС" для тор браузера абсолютно бесполезна(это сказал и сам девелопер), потому что она не узнает ОС выходной ноды, а юзерагент следует ОС, где браузер находится. И в конце цепочки обычно находится линукс, а юзерагент берут с винды, потому что там больше пользователей.
Но почему-то в мозилле не подумали о прокси и торе. Не добавили отдельную настройку, чтобы можно было разрешить изменять юзерагент. Или не реализовали возможность как-то автоматически детектить ОС прокси или впна, хотя это очень сложно или невозможно.


Anonymous 09/23/2018 (Sun) 03:48:05 [Preview] No.671 del
А вся эта дикая хуйня происходит из того, что вы пытаетесь натянуть анонимность на веб, который слишком сложен и вообще враждебен этому.

Ладно с Тором - он для выхода в обычный интернет нужен - но зачем было делать скрытый веб в И2П? Разве сложно было сделать свою упрощённую гипертекстовую систему? На Маркдауне каком-нибудь или даже проще, без Джаваскрипта, без куков, без юзер-агентов, без фингерпринтов, без нихуя. Просто текст со ссылками, встраиваемыми картинками и формами, чтобы сообщения отправлять.


Anonymous 09/23/2018 (Sun) 13:52:13 [Preview] No.672 del
>>671
ш2з на транспортном уровне же работает, никто не мешает тебе пустить через него векторный гипертекстовый фидонет или ирку


Anonymous 09/23/2018 (Sun) 15:30:42 [Preview] No.674 del
>>671
>Разве сложно было сделать свою упрощённую гипертекстовую систему?
Её нужно сделать независимо от транспорта. Для динамических страниц не нужно исполнение всякого говна вроде жс, смену стилей по евентам можно нахуярить с минимальными изменениями на html&css, даже xhr с шаблонами. Для ориентированых на анонимность сайтов в скрытосетях лучше конечно ещё упростить. Проблема только с клиентами. Разве что голый html4 браузерам кормить.


Anonymous 09/23/2018 (Sun) 16:38:31 [Preview] No.679 del
>>671
Во фринете именно так.


Anonymous 09/23/2018 (Sun) 19:00:27 [Preview] No.681 del
>>667
>Так ещё разработчики тор браузера исправить нормально не могут!
Не хотят. С трудом уговорили отправлять винду, а не реальную ОС в UA в HTTP.

>Теперь для тора на винде юзерагенты различаются в зависимости от способа их получения!
Так задумано. В HTTP винда, а в js реальная ОС.

>Но почему-то в мозилле не подумали о прокси и торе. Не добавили отдельную настройку, чтобы можно было разрешить изменять юзерагент.
Об этом думать должны не в мозилле, а разработчики тор браузера. А они отказываются прятать реальную ОС. Это не техническая проблема.


Anonymous 09/24/2018 (Mon) 12:24:44 [Preview] No.717 del
>>681
Я вот почему-то ни секунды не совмевался, что в следующей же версии вернут в зад, но не до конца. Что-то мне это напоминает.


Anonymous 09/24/2018 (Mon) 13:21:11 [Preview] No.718 del
>>717
Что?


Anonymous 09/24/2018 (Mon) 13:37:24 [Preview] No.719 del
>>718
Ввод анальных законов.


Anonymous 09/24/2018 (Mon) 15:29:46 [Preview] No.721 del
>>719
Окно Овертона, тиапа? Сначала полный абсурд делаем действительностью, а потом немного ослабляем давление и уже ранее ненормальные вещи принимают как что-то хорошее.


Anonymous 09/24/2018 (Mon) 19:38:42 [Preview] No.724 del
Блядофляра что-то взбесилась с новой версией.


Anonymous 09/24/2018 (Mon) 19:45:56 [Preview] No.726 del
В восьмом тор браузере я недавно заметил, что два, а то и три (т. е. все) пира подряд могут находиться в одной и той же стране. Можно как-то через torrc это запретить? В идеале, разнести все три по разным странам.


Anonymous 09/25/2018 (Tue) 07:51:49 [Preview] No.737 del
Свистните, когда можно будет обновиться.
Инбифо: никогда.


Anonymous 09/25/2018 (Tue) 15:58:33 [Preview] No.745 del
Firefox и Tor Browser обновляя extensions.blocklist раз в сутки сливает версию ядра linux на сервера мозиллы, и разрабы Tor за шесть лет https://trac.torproject.org/projects/tor/ticket/6734 не устранили этот беспредел.
https://trac.torproject.org/projects/tor/ticket/16931


Anonymous 09/26/2018 (Wed) 02:03:35 [Preview] No.754 del
>>745
Блять. Почему я этого не знал? Ну это же пиздец.


Anonymous 09/26/2018 (Wed) 20:52:20 [Preview] No.762 del
>>737
Сейчас.
На старой версии не работает HTTP/2.

Как минимум на сайтах с клаудфларой, клаудфлара будет знать, что у тебя старый браузер и сможет тебя отслеживать.


Anonymous 09/27/2018 (Thu) 07:03:52 [Preview] No.766 del
>>762
Торбраузер больше не клон гуглхрома, а входная нода меняется?


Anonymous 09/27/2018 (Thu) 18:42:31 [Preview] No.768 del
>>766
>а входная нода меняется?
Добавь в скрипт запуска удаление файла state или запиши Tails на флешку.


Anonymous 09/28/2018 (Fri) 11:22:43 [Preview] No.777 del
Если кто-то из вас заинтересован в решении проблемы фингерпринта и заскриптованности сайтов, и готов оказать посильную помощь, просьба отписаться в треде. Решение есть.


Anonymous 09/28/2018 (Fri) 18:34:07 [Preview] No.785 del
>>777
>просьба отписаться в треде. Решение есть.
Почему ты не пишешь, какая посильная помощь тебе нужна, а ждешь, что кто-то отпишется в треде?

Я вижу только два выхода - давить на разработчиков браузера или сделать форк и убедить как минимум половину линуксоидов использовать форк вместо официальной версии.


Anonymous 09/28/2018 (Fri) 18:51:57 [Preview] No.788 del
>>777
>заскриптованности сайтов
Запилить минималистичную альтернативу, покрывающую большинство потребностей - изменение стилей и подгрузка контента по клику. Сделать скорее всего не сложно, хоть сколько-нибудь популиризовать уже проблема.


Anonymous 09/28/2018 (Fri) 22:04:08 [Preview] No.816 del
>изменение стилей и подгрузка контента по клику
Ты хочешь создать с нуля юзерскрипты и юзерстили?


Anonymous 09/29/2018 (Sat) 18:54:52 [Preview] No.823 del
>>785
Потребуется сделать вот что:
1) Детализировать описание рашения до такой степени, чтобы его могли реализовать в браузерах.
2) Продвинуть это решение до уровня создателей браузеров и W3C.


Anonymous 09/29/2018 (Sat) 19:32:53 [Preview] No.824 del
>>816
Нет.
Ты никогда не задумывался, почему в каждом скрипте доступны сразу все Web-whatever-API, есть полный доступ к DOM и возможность подтянуть на страничку любой файл с любого URL? Почему я, как веб-разработчик, не могу загрузить внешний скрипт, запретив ему любым способом отправлять данные каким-либо способом, будь то AJAX или еще что-нибудь?

Почему я не могу изолировать скрипт, использующий к примеру WebGL, от всех возможностей отсылать данные в сеть?

А теперь попробуй представить, что во всех браузерах появилась возможность задавать каждому скрипту свои ривелегии и свой Global Environment, изолированный от других скриптов.
Это и есть решение.
Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Тогда уже и в браузерах можно будет вводить избирательную блокировку скриптов, в которых одновременно доступны источники фингерпринта и возможности посылки запросов в сеть.


Anonymous 09/29/2018 (Sat) 19:37:16 [Preview] No.825 del
>>788 -> >>824
Сорян, ошибся постом


Anonymous 09/29/2018 (Sat) 22:24:38 [Preview] No.831 del
>>816
Не юзер- и с ограничеными возможностями. Для многих сайтов скрипты не нужны только чтобы по клику переключить стили/загрузить с сервера кусок страницы. Т.е. такой код можно не исполнять транслируя в машинный, а просто парсить как разметку, по сути это её небольшое расширение.


Anonymous 09/29/2018 (Sat) 22:34:15 [Preview] No.833 del
>>823
Можно на первых порах реализовать аддоном. Собственно всё, что нужно - возможность прописывать в html onclick не-жс, или ограниченный жс с функциями селекта по css id/class, смены их же и отправка запроса, который будет напрямую вставляться в .innerHTML. Этого достаточно для большинства сайтов, которые сегодня не работают без жс, при этом писать их станет проще и браузеры скорее всего дут жрать меньше. Для более свистоперделочных сайтов это не подойдёт, тут уже как ты предлагаешь нужны ограничения, но я не думаю, что оно взлетит - на данный момент возможности к ограничению есть и на них разрабы просто кладут хуйцы - если у 3.5 параноиков не работает сайт, им просто похуй.


Anonymous 09/30/2018 (Sun) 07:40:21 [Preview] No.844 del
>>833
> Для более свистоперделочных сайтов это не подойдёт, тут уже как ты предлагаешь нужны ограничения, но я не думаю, что оно взлетит - на данный момент возможности к ограничению есть и на них разрабы просто кладут хуйцы - если у 3.5 параноиков не работает сайт, им просто похуй.

Так в том всё и дело, что настройка ограничений должна быть стандартной и универсальной, дабы можно было увешивать сайт свистоперделками и не тревожить при этом privacy-conscious persons, которых намного больше чем 3,5 анонимных параноика. Только такая спецификация может взлететь и преодолеть сопротивление жадных говноедов, для которых сокращение возможностей фингерпринта сулит финансовые потери.


Anonymous 09/30/2018 (Sun) 07:45:21 [Preview] No.845 del
Допустим, что у меня есть готовая спецификация под это >>824 решение. Лушче обращаться с нею сразу в W3C или сначала по браузерным багтрекерам раскидать?


Anonymous 09/30/2018 (Sun) 09:39:44 [Preview] No.849 del
>>845
Без патча ты сам знаешь кто.


Anonymous 09/30/2018 (Sun) 14:08:51 [Preview] No.850 del
>>844
>жадных говноедов
Которые и держат 99% свистоперделочных сайтов и на спецификацию будут класть, ибо жс гугл из своего браузера против своих интересов вырезать не станет.


Anonymous 09/30/2018 (Sun) 14:47:16 [Preview] No.852 del
>>833
По онклику загружай контент в ифрейм, как деды делали, и не выёбывайся.


Anonymous 09/30/2018 (Sun) 15:41:28 [Preview] No.853 del
>>852
Это не позволяет отказаться от жс и нет возможности по онклику менять контент частично, а из ифрейма в основном документе просто ничего не поменять.


Anonymous 09/30/2018 (Sun) 18:22:36 [Preview] No.855 del
>>845
>Лушче обращаться с нею сразу в W3C
Туда уже обратились жадные говноеды, готовые поделиться частью прибыли от возможностей фингерпринта. Поэтому в HTML5 добавляют функции для сбора информации о системе через браузер.


Anonymous 09/30/2018 (Sun) 18:30:19 [Preview] No.856 del
>>824
>Почему я, как веб-разработчик, не могу загрузить внешний скрипт
Потому что ты говноед, загружающий скрипты с серверов корпораций.

>Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Им плевать. Любому грамотному человеку изначально понятно, что архитектура NPM с загрузкой и автообновлением модулей от мимокрокодилов - небезопасное говно. Но они продолжают ей пользоваться даже после недавнего протроянивания npm-модуля.


Anonymous 09/30/2018 (Sun) 18:32:45 [Preview] No.857 del
Вы не тем занимаетесь, у нас тут из javascript утекает реальная ОС в тор браузере, а вы думаете как использовать сайты со скриптами без скриптов.

>>824
Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
>Тогда уже и в браузерах можно будет вводить избирательную блокировку скриптов
Для юзеров разобраться в каких-то простых вещах сложно, а во всех API javascript будет весьма проблемно. Будет либо будет разделение привелегий для разработчиков по API, в котором можно будет всё в точности отрегулировать, либо для юзеров, в которой всё будет просто, но с определенным запретом будет отметаться половина возможностей скриптов.

>>831
>нужны только чтобы по клику переключить стили/загрузить с сервера кусок страницы. Т.е. такой код можно не исполнять транслируя в машинный, а просто парсить как разметку
Это можно сделать тысячей различных способов в javascript. Я не понимаю, как это можно сделать без выполнения кода, если с сервера загружается не просто html, а json.

>>833
>достаточно для большинства сайтов
Нет.

>>853
>нет возможности по онклику менять контент частично
Браузер будет загружать из кеша весь неизмененный контент.
>ифрейма в основном документе просто ничего не поменять
Тебе не нужно ничего менять в основном документе. Тебе нужно загружать дополнительный контент при желании юзера. Всё, что нужно менять, пихать в отдельные ифреймы.


Anonymous 09/30/2018 (Sun) 18:36:19 [Preview] No.858 del
>>855
Ссылку.


Anonymous 09/30/2018 (Sun) 18:41:41 [Preview] No.859 del
>>856
>>856
>с загрузкой и автообновлением модулей
Можно подумать без автообновления так сложно вставить троян.


Anonymous 09/30/2018 (Sun) 18:45:43 [Preview] No.860 del
>>849
Предлагаешь собственноручно написать сразу с реализацией в виде форка лисы?
>>850
>Которые и держат 99% свистоперделочных сайтов и на спецификацию будут класть
Ты не прав. 99% коммерческих сайтов, если ими владеют не ИТ компании, делаются не теми, кто стрижет с них купоны. Это дело доверяют веб-разработчики, которые решают поставленную задачу удобным для них способом. Решение подкупает именно этим удобством, именно поэтому оно взлетит. А ограничения запуска скриптов с неоправданно высокими привелегиями после этого уже будет вопросом времени, как это было с блокировкой рекламы и введением Tracking Protection.
>>852
Без js фреймы можно грузить через <a target>, например.


Anonymous 09/30/2018 (Sun) 18:50:30 [Preview] No.861 del
>>857
>Это можно сделать тысячей различных способов в javascript.
Задача от него отказаться.
>Я не понимаю, как это можно сделать без выполнения кода, если с сервера загружается не просто html, а json.
Во-первых нинужна, во-вторых можно сделать шаблоны.
>Нет
Ну ты бы пример что ли привёл, какая полезная распространённая фича отвалится.
>Браузер будет загружать из кеша весь неизмененный контент.
Придётся делать кучу ифреймов для каждой мелочи,
>Тебе нужно загружать дополнительный контент при желании юзера. Всё, что нужно менять, пихать в отдельные ифреймы.
при этом из одного ифрейма нельзя менять другой. И без отказа от жс оно не имеет смысла.


Anonymous 09/30/2018 (Sun) 18:57:02 [Preview] No.862 del
>>860
>Решение подкупает именно этим удобством
Я не понял, каким образом это будет удобнее для разработчиков.
>как это было с блокировкой рекламы
Которой пользуется менее половины пользователей лисы и хуй знает, сколько хрома, думаю заметно меньше.
>введением Tracking Protection
Что и куда было введено?
>Без js фреймы можно грузить через <a target>, например
урл не обновить, история отвалится


Anonymous 09/30/2018 (Sun) 19:05:48 [Preview] No.863 del
>>856
>Потому что ты говноед, загружающий скрипты с серверов корпораций.
Нет, я только примерил на себя образ тех, кто это делает.
>Им плевать. Любому грамотному человеку изначально понятно, что архитектура NPM с загрузкой и автообновлением модулей от мимокрокодилов - небезопасное говно. Но они продолжают ей пользоваться даже после недавнего протроянивания npm-модуля.

А что они, по-твоему, должны были сделать? Пока не будет нормальной альтернативы, они будут пользоваться тем что есть.

>>857
>Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
>Для юзеров разобраться в каких-то простых вещах сложно, а во всех API javascript будет весьма проблемно
А им и не нужно будет ни в чем разбираться. Сначала какой-нибудь васян сделает расширение, по дефолту блокирующее опасные сочетания привелегий. Потом эту функцию встроят в адблокеры. Потом в браузеры.


Anonymous 09/30/2018 (Sun) 19:14:53 [Preview] No.864 del
>>863
>А что они, по-твоему, должны были сделать? Пока не будет нормальной альтернативы, они будут пользоваться тем что есть.
Хотя бы скачивать себе и обновлять вручную
>Сначала какой-нибудь васян сделает расширение, по дефолту блокирующее опасные сочетания привелегий. Потом эту функцию встроят в адблокеры. Потом в браузеры.
Уже сегодня подобные вещи есть и ломают сайты. Причём большинство даже не заворачивается в try catch и ломается полностью+есть единицы, которые показывают заглушку "без этой фичи сайт не работает, включите или идите нахуй".


Anonymous 09/30/2018 (Sun) 19:15:41 [Preview] No.865 del
>>858
Удваиваю запрос
>>862
>Я не понял, каким образом это будет удобнее для разработчиков.
Скриптам можно будет задать разные Global Environment, чтобы их области видимости не пересекались.
Контроль внешних скриптов. Даже если их кто-то протроянит, при правильной настройке привелегий ничего не произойдет.
Раздельное использование API и привелегий. Каждый скрипт может выполнять только свою задачу. И даже не заглядывая внутрь скрипта, по его объявлению в HTML будет понятно, для чего он используется.
Может быть что-то ещё, о чем я забыл.
>Что и куда было введено?
Tracking Protection list в Firefox. В русской локали это список блокировки.
>Которой пользуется менее половины пользователей лисы и хуй знает, сколько хрома, думаю заметно меньше.
Что ты хочешь этим доказать? Что не надо было создавать адблокеры?


Anonymous 09/30/2018 (Sun) 19:25:04 [Preview] No.866 del
>>864
>Уже сегодня подобные вещи есть и ломают сайты.
Они ломают сайты, потому что не могут заранее определить, используется канвас (или другая фишка) для фингерпринта, или же для чего-то другого. А по заданным привелегиям это можно определить еще до выполнения скрипта.


Anonymous 09/30/2018 (Sun) 19:30:44 [Preview] No.867 del
>>857
>Вы не тем занимаетесь, у нас тут из javascript утекает реальная ОС в тор браузере, а вы думаете как использовать сайты со скриптами без скриптов.
Ставишь любой user agent spoofer с проверенным лично тобой кодом, отключаешь обновления расширений и используешь. Или тебе надо на разработчиков надавить?


Anonymous 09/30/2018 (Sun) 19:33:47 [Preview] No.868 del
Думаю, хорошим решением было бы отказаться от удаленной загрузки произвольных скриптов, так чтобы юзер загружал их в репозиторий браузера так же, как десктопный софт.


Anonymous 09/30/2018 (Sun) 19:35:37 [Preview] No.869 del
>>868
На эту проблему у меня тоже есть решение, но без >>824 оно может не взлететь.


Anonymous 09/30/2018 (Sun) 19:40:20 [Preview] No.870 del
>>857
>Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
Если это решение можно хотя бы частично реализовать через расширения, то я попробую это сделать. Но это не отменяет необходимости искать другие пути.


Anonymous 09/30/2018 (Sun) 19:41:41 [Preview] No.871 del
>>867
Ты уже поставил? Какой у тебя юзерагент?


Anonymous 09/30/2018 (Sun) 19:46:53 [Preview] No.873 del
>>867
Спуфать UA должны все. Особенно если учесть, что разработчики TB поставляют разные шрифты для разных платформ.


Anonymous 09/30/2018 (Sun) 19:59:03 [Preview] No.874 del
>>873
Так что ты предлагаешь?


Anonymous 09/30/2018 (Sun) 20:01:28 [Preview] No.875 del
>>874
Давить на разработчиков в багтрекере, иных путей нет. Или полностью отказываться от JS в торбраузере.


Anonymous 09/30/2018 (Sun) 20:05:09 [Preview] No.876 del
>>865
>Скриптам можно будет задать разные Global Environment, чтобы их области видимости не пересекались.
Зачем? к тому же модули уже вроде есть.
>Контроль внешних скриптов. Даже если их кто-то протроянит, при правильной настройке привелегий ничего не произойдет.
Если бы это кого-то ебало, они бы не использовали внешние скрипты. К тому же их содержимое используется из своих скриптов, вынесение в отдельный контекст лишает их смысла, к тому же доступ у них к одному dom, в котором обычно вся полезная инфа есть.
>Раздельное использование API и привелегий. Каждый скрипт может выполнять только свою задачу. И даже не заглядывая внутрь скрипта, по его объявлению в HTML будет понятно, для чего он используется.
С библиотеками типа jquery это не прокатит, т.к. через неё идут почти все операции. Для каких-то отдельных фич смысл наверно есть, но я не верю, что кого-то из разработчиков это ебёт достаточно, чтобы тратить на это время, даже если им готовый стандарт, поддерживаемый браузерами дать.
>Tracking Protection list в Firefox
>в Firefox
>отключен по-дефолту
>ломает сайты, в чём разумеется винят мозиллу(что в общем-то правильно с их подходом)
>Что ты хочешь этим доказать? Что не надо было создавать адблокеры?
Что это не влияет на разрабов, максимум напишут просьбу отключить адблок для поддержки сайта/скажут, что с ним оный может отображаться некорректно, если что - идите нахуй. Я так недавно пошёл, когда интернет-магазин без яндекс метрики тупо не работал.


Anonymous 09/30/2018 (Sun) 20:06:54 [Preview] No.877 del
>>866
>А по заданным привелегиям это можно определить еще до выполнения скрипта.
Что-то мне это неочевидно. Часть скриптов конечно отрежет, но ничто не помешает желающим начать использовать канвас для логотипа и вкрутить в тот же скрипт слежку.


Anonymous 09/30/2018 (Sun) 20:10:43 [Preview] No.878 del
>>868
Мне кажется было бы более реалистично начать с ит сайтов и декларирующих уважение приватности пользователей, если будет рабочая версия, будет проще убедить их владельцев написать к ней клиент, а к чему-то клиенты смогут писать сами пользователи.


Anonymous 09/30/2018 (Sun) 20:11:04 [Preview] No.879 del
>>863
Так-то оно так. Только этот васян может никогда не появиться.
>>868
Прямо сейчас возьмешь и изменишь структуру веба?
>>870
Жду ссылку здесь на AMO через 1-2 месяца.
Ты серьезно будешь что-то писать?

>>861
>Во-первых нинужна, во-вторых можно сделать шаблоны.
Вместо шаблона будет проще прочитать код.
>Ну ты бы пример что ли привёл
>если с сервера загружается не просто html, а json

>Придётся делать кучу ифреймов для каждой мелочи
>при этом из одного ифрейма нельзя менять другой
Именно так. Либо перезагружать всю страницу. Но благодаря этому пользователь будет полностью контролировать загрузку страницы.
>И без отказа от жс оно не имеет смысла
Это имеет смысл, если у пользователя отключен жс


Anonymous 09/30/2018 (Sun) 20:12:55 [Preview] No.880 del
>>870
У вебэкстеншенов с этим плохо - они работают по принципу блокировки и могут внезапно отвалиться. Надо чтобы они наоборот разрешали отключенное по-дефолту, что без изменения браузера невозможно.


Anonymous 09/30/2018 (Sun) 20:24:13 [Preview] No.881 del
>>879
>Вместо шаблона будет проще прочитать код.
Что? Шаблон не исполняемый, пользователю его не надо читать, вообще не понял это сравнение.
>>Ну ты бы пример что ли привёл
>>если с сервера загружается не просто html, а json
Мой вариант подразумевает изменения на сервере если что. Отвалятся же только относительно сложные клиентские фичи вроде кастомных аудио/видео плееров, поиска без запросов на сервер и прочее, что нинужно и как правило отсутствует на многих сайтах - форумах, блогах, вики и т.д.
>Но благодаря этому пользователь будет полностью контролировать загрузку страницы.
Это не единственный вариант, для тех, кого это волнует можно сделать политики чтобы запросы были только по клику и при наведении будет показываться адрес как для ссылок.
>Это имеет смысл, если у пользователя отключен жс
Я как бы отвечал на
>По онклику загружай контент в ифрейм,
Вообще стоит разделять попытки ограничить существующее и переписывание сайтов. Если владелец заинтересован, то нет необходимости ограничиваться существующими технологиями, которые не расчитаны на отключеный жс.


Anonymous 10/01/2018 (Mon) 15:11:42 [Preview] No.885 del
>>876
>Если бы это кого-то ебало, они бы не использовали внешние скрипты.
Ты не прав. Плюнь в любую сторону и обязательно попадешь во что-нибудь, что многие очень хотят поменять, но не меняют.
>>877
У тебя есть скрипт с доступом к канвасу, шрифтам и svg, без возможности послать запрос в сеть или записать что-то в DOM. Как ты собрался вкручивать в него слежку?


Anonymous 10/01/2018 (Mon) 16:22:24 [Preview] No.886 del
>>885
Это какой-то уникальный скрипт, такой может быть нужен разве что ради пэинта в браузере. У меня конечно нет статистики, но канвасы вроде обычно используют для игр и другого динамически подгружаемого контента, где удобства такое точно не добавит, незаинтересованные разрабы не будут выносить отрисовку в отдельный скрипт, так что ломать оно будет как фингерпринты, так и обычный функционал.
>Ты не прав. Плюнь в любую сторону и обязательно попадешь во что-нибудь, что многие очень хотят поменять, но не меняют.
Это ничего не меняет. Хотят-не хотят, делают как проще, учить что-то новое без необходимости мало кто будет, тут интересы только пользователей, которые их приблизительно никак не отстаивают.


Anonymous 10/01/2018 (Mon) 18:28:04 [Preview] No.888 del
>>867
>Ставишь любой user agent spoofer
А любой умеет выдавать для HTTP
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0
а для js
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0
как сейчас делает TB под виндой?


Anonymous 10/01/2018 (Mon) 18:39:37 [Preview] No.889 del
>>886
>незаинтересованные разрабы не будут выносить отрисовку в отдельный скрипт, так что ломать оно будет как фингерпринты
Сейчас 95% разработок делают для сбора персональных данных и показа рекламы. Разрабы заинтересованы, чтобы фингерпринты работали.


Anonymous 10/01/2018 (Mon) 23:36:21 [Preview] No.892 del
А как насчет того чтобы создать окружение и браузер которые спуфят все по максимуму и дают выбор из разных правдоподобных комбинаций фингерпринтов вместо одного захардкоженного господином разработчиком? Тот же фингерпринтинг тор браузера фиксится настройкой оконного менеджера на другую ширину скроллбара схожую с шиндошс.

Есть такой васянский браузер Linken Sphere который даже на ксакепе прорекламировали. Если убрать его очевидную ханипотность и проприетарную натуру, но техники которыми он подменяет фигнерпринты вполне известны и хорошо работают, обычно в виде браузерных плагинов и виртуальных машин. Пока javascript запрещает меньшинство, таким образом не скрыться, а то и просто невозможно пользоваться сайтами.


Anonymous 10/02/2018 (Tue) 02:44:51 [Preview] No.894 del
!


Anonymous 10/02/2018 (Tue) 03:37:46 [Preview] No.895 del
>>885
>Как ты собрался вкручивать в него слежку?
Получаю рута через какой-нибудь очередной мелтдаун, будь ты хоть в 10 виртуалках, сливаю ключи от твоих разделов и ставлю следящего за тобой трояна.


Anonymous 10/02/2018 (Tue) 18:29:01 [Preview] No.898 del
>>889
Поэтому и ориентироваться на них нет смысла. Если число пользователей препятствующих слежке аддонов/настроек будет расти, то они станут намерено писать ломающиеся сайты.


Anonymous 10/02/2018 (Tue) 19:23:57 [Preview] No.899 del
>>898
Запретят твои аддоны как adnauseam.


Anonymous 10/03/2018 (Wed) 07:37:25 [Preview] No.900 del
Значительная проблема заключается в клаудфларе, а в частности её гуглокапче. Гуглокапча вообще самое уебанское изобретение за всю историю человечества, поэтому логично что с ней хочется сталкиваться как можно реже. Раньше можно было поставить правильный юзерагент Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0 и на доброй половине сайтов требование капчи отпадало. Сегодня попытался обновиться до восьмой версии. Одна из причин, почему попытка не завершилась успехом - именно клаудфлара. Даже с подмененным как положено юзерагентом все равно выдавало ебучее Please complete the security check to access site.com.

Как с этой хуйнёй бороться, господа? У кого-нибудь вышло на квантуме справиться с клаудфларой? На firefox esr результат был такой же как и на торобраузере.


Anonymous 10/03/2018 (Wed) 09:09:19 [Preview] No.901 del
>>895
Сижу с проца амд, обновляют ядро прямо из гита и хули ты мне сделаешь, чепуш?


Anonymous 10/03/2018 (Wed) 09:11:00 [Preview] No.902 del
>>899
Кстати поясните за него. Какие подводные использовать его при браузинге клирнета? Пидорашьи провайдеры всё ещё предоставляют "платные сайты" или нет?


Anonymous 10/03/2018 (Wed) 09:46:23 [Preview] No.903 del
>>900
Отключи TLS 1.3 и блядофляра будет тревожит только там, где пидорахи-админы сами включили анальную проверку тора.

security.tls.version.max=3

все похоже на то, что блядофляра попросту демонстрирует нам силу, якобы "забыв" внести новый конфиг торбраузера в белый список, как теперь она без задней мысли может забанить для рассово неправильных айпишников полинтернета


Anonymous 10/03/2018 (Wed) 09:49:26 [Preview] No.904 del
>>901
Дыры находят раньше, чем выпускают патчи - по определению. Стало быть, любая популярная платформа уязвима постоянно.


Anonymous 10/03/2018 (Wed) 10:45:19 [Preview] No.905 del
>>904
Любая платформа уязвима когда обнаружена уязвимость и ещё не накачен пач.


Anonymous 10/03/2018 (Wed) 14:26:08 [Preview] No.906 del
>>903
>Отключи TLS 1.3 и блядофляра будет тревожит только там, где пидорахи-админы сами включили анальную проверку тора.
>security.tls.version.max=3

Благодарю, чуть позже потестирую. Но есть еще две проблемы, тормозящие мой апдейт. Может еще скажешь, как нормально сменить юзерагент, ибо general.useragent.override не работает как должен, а мокрописьки и лишние васяноплагины это не наш метод. Вторая проблема заключается в том, что у носкрипта слетают настройки в положение "всё разрешено" и решения я почему-то не нашел.

>все похоже на то, что блядофляра попросту демонстрирует нам силу, якобы "забыв" внести новый конфиг торбраузера в белый список, как теперь она без задней мысли может забанить для рассово неправильных айпишников полинтернета

Стоит попробовать написать на форум или багтрекер или что там еще у них есть.


Anonymous 10/03/2018 (Wed) 16:40:08 [Preview] No.907 del
>>906
>Может еще скажешь, как нормально сменить юзерагент
А никак, лол. Нет, правда, подумай хорошо сам, почему менять UA какими-либо методами чисто для себя - да хоть патчингом сорцов - плохая идея.

general.xxx.override будет работать, только если отключишь resistFingerprinting со всеми вытекающими типа необходимости затыкать протекающий канвас.

>>905
Есть мнение, что уязвимости обнаруживаются задолго до того, как становится публично известными. И не всегда - хорошими парнями.


Anonymous 10/03/2018 (Wed) 16:52:25 [Preview] No.908 del
>>906
>Вторая проблема заключается в том, что у носкрипта слетают настройки в положение "всё разрешено" и решения я почему-то не нашел.
Вебекстеншн хуита не имеет ничего общего с ламповым XUL носкриптом. Лучей говна разработчикам TB, не заменившим это ебаное глюкалово на мюматрикс.

В общем, хуй знает как с этим жить (ютаб так и не завелся, например) и не опасно ли с т.з. фингерпринтинга поменять эту парашу на матрицу.


Anonymous 10/03/2018 (Wed) 19:28:18 [Preview] No.924 del
>>903
>security.tls.version.max=3
Фингерпринт


Anonymous 10/03/2018 (Wed) 19:34:25 [Preview] No.925 del
Они так торопились выложить 8.0.2, что поломали reproducible build.
>While preparing the 8.0.2 release we encountered intermittent reproducibility failures for Linux (64bit) bundles.
https://blog.torproject.org/new-release-tor-browser-802

>While rushing to the 8.0.2 security release we found a problem with reproducing Linux (64bit) bundles. The failure is intermittently, though, but it is still concerning.

>It's not clear yet what is causing this problem. The current theory is one of the security patches although this does not make much sense yet.
https://trac.torproject.org/projects/tor/ticket/27937


Anonymous 10/03/2018 (Wed) 19:57:35 [Preview] No.926 del
>>924
Ну да.


Anonymous 10/03/2018 (Wed) 21:28:21 [Preview] No.935 del
>>925
Видимо террориста ищут, вставили бэкдор на время.


Anonymous 10/04/2018 (Thu) 00:36:19 [Preview] No.937 del
>>935
Ох, ну ладно, а то я уж испугался. Надеюсь, его взгреют там хорошенько, чтоб не портил больше жизнь нормальным людям! Мы из-за этого террориста без повторябельных сборок остались, скажите ему спасибо.


Anonymous 10/04/2018 (Thu) 06:17:39 [Preview] No.941 del
>>907
>А никак, лол. Нет, правда, подумай хорошо сам, почему менять UA какими-либо методами чисто для себя - да хоть патчингом сорцов - плохая идея.
Фингерпринт, кококо, фингерпринт. Да знаю я про ваш фингерпринт. Впрочем, security.tls.version.max=3 уже дает возможность обходить клаудфлару, так что ебля со сменой юзерагента становится сомнительной необходимостью. С другой стороны, срущий жаваскрипт с глючным носкриптом сводит весь смысл вашей хвалёной защиты от фингерпринтинга к нулю.

В общем, лично я пока что предпочту остаться на седьмой версии, параллельно присматривая вариант для съеба.


Anonymous 10/04/2018 (Thu) 23:39:13 [Preview] No.954 del
>>941
>кококо
Вам на двач.


Anonymous 10/04/2018 (Thu) 23:47:58 [Preview] No.955 del
>>941
>кококо
Вам на двач.
>>824
>Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Им-то это зачем? Работа фронтенд-пидорасни направлена на быдло и только на быдло, поэтому и существуют тонны всякой ссанины типа реактов, ангуляров, вуеджсов и т.д. - быдлу не интересно ходить по страничкам, быдлу нужно чтоб всё блестело моргало и прыгало, а на каких-то там полутора анониздов всем посрать, да и просто на любителей чистого браузинга (когда тыкаешь на ссылку @ прочитал статью/посты @ опционально ответил @ всё) тоже посрать, ведь они как и анонизды денег не приносят.
Идеальный пользователь веба - он без адблока сидит, с включенными скриптами, ставит все предлагаемые приложения (недавно оказалось, что даже у imgur есть приложение, это же блять просто хостинг картинок, а без приложения он мобиле не выдаст картинку в оригинальном расширении), а ну и в идеале туп достаточно чтобы тыкать на рекламу.


Anonymous 10/05/2018 (Fri) 02:33:26 [Preview] No.957 del
>>955
>это же блять просто хостинг картинок
Это почти Сосач, вроде как.

>туп достаточно чтобы тыкать на рекламу
Реклама работает, даже если её не тыкать. На щиты в городе ты ведь не тыкаешь обычно?

Вообще у отказа от Джаваскрипта есть недостаток: если твои данные не будут обрабатываться на клиенте, им придётся обрабатываться на сервере. Все эти вуи, реакты и так далее - оно нужно, чтобы экономить серверные ресурсы, перенося часть работы на клиент.


Anonymous 10/05/2018 (Fri) 16:17:05 [Preview] No.970 del
>>824
В W3C уже занимаются разработкой стандарта, который позволит вводить ограничения доступа к Web API. Пока что планируется сделать возможность устанавливать привелегии для browsing context, но как я понял, в будущем это хотят распространить и на scripting context.


Anonymous 10/05/2018 (Fri) 18:46:12 [Preview] No.971 del
>>957
>экономить серверные ресурсы, перенося часть работы на клиент.
Забота об экономии серверных ресурсов не мешает им тащить всю информацию клиента в облако для обработки. А вот формировать вебстраницу на сервере - они не хотят. Отдают браузеру шаблон и подгружают json, чтобы тормозящий браузер сам формировал вебстраницу.


Anonymous 10/05/2018 (Fri) 19:02:37 [Preview] No.972 del
>>955
>даже у imgur есть приложение, это же блять просто хостинг картинок, а без приложения он мобиле не выдаст картинку в оригинальном расширении
Интересная тенденция - на десктопе функционал приложений тянут в браузер, чтобы привязать пользователя к сайту и заставить его поделиться информацией, с которой он работает. Ради этого в браузер добавляют canvas, webgl и прочее не нужное на 99% сайтов. Торбраузер выдает операционную систему, чтобы Google Doc работал в торбраузере на mac. А на смартфонах функционал простого вебсайта заворачивают в отдельное приложение, которое тащит на свой сервер всю информацию, которую может собрать.


Anonymous 10/05/2018 (Fri) 22:27:20 [Preview] No.979 del
>>957
>
Вообще у отказа от Джаваскрипта есть недостаток: если твои данные не будут обрабатываться на клиенте, им придётся обрабатываться на сервере. Все эти вуи, реакты и так далее - оно нужно, чтобы экономить серверные ресурсы, перенося часть работы на клиент.
1. Результату полученному на клиентской машине нельзя доверять, хотя бывает что и не нужно
2. >>971


Anonymous 10/07/2018 (Sun) 12:14:12 [Preview] No.1030 del
Все, к чему прикоснется Microsoft, превращается в говно. Винду превратили в говно, скайп почти убили.
Теперь и до Github добрались. Превратили процесс регистрации из-под тор браузера в бесконечное издевательство. Суки, поставили обновление страницы вместо продолжения регистрации.
Блять, как мне быть-то теперь? Я зарегистрироватья хотел. Аноны, помогите.


Anonymous 10/07/2018 (Sun) 12:36:13 [Preview] No.1033 del
>>1030
Корпорация-говномидас.


Anonymous 10/07/2018 (Sun) 13:14:04 [Preview] No.1035 del
По возможности не пользоваться и агитировать разрабов валить, а так попробуй после тора обычную проксю надеть.


Anonymous 10/07/2018 (Sun) 17:21:30 [Preview] No.1037 del
>>1035
>а так попробуй после тора обычную проксю надеть.
Еще бы знать, как ее нацепить, не сломав управление цепочками и изоляцию вкладок в торбраузере.


Anonymous 10/07/2018 (Sun) 19:28:43 [Preview] No.1040 del
>>1030
>Все, к чему прикоснется Microsoft, превращается в говно.
Любая централизованная параша превращается в говно. Программисты как мухи слетелись на сервера коммерческой фирмы, а теперь удивляются, что их продали другой фирме.

>Превратили процесс регистрации из-под тор браузера в бесконечное издевательство.
Не переживай. Разработчики тор браузера еще немного пожертвуют приватностью всех пользователей, чтобы можно было зарегистрироваться на гитхабе.

>Блять, как мне быть-то теперь? Я зарегистрироватья хотел.
<Гитхаб - говно! Как мне там зарегистрироваться?


Anonymous 10/07/2018 (Sun) 19:32:13 [Preview] No.1041 del
>>1040
Не всегда возможно отказаться от использования сервисов, целенаправленно борящихся со средствами анонимизации. Схемы безопасной работы с ними тоже нужно прорабатывать.


Anonymous 10/07/2018 (Sun) 19:35:02 [Preview] No.1042 del
Кстати, интересно - а что мешало реализовать в торе непубличные выходные узлы на манер входных бриджей, которые успешно обходят даже ВКФ? Гугл и блядофляра не одобрямс?


Anonymous 10/07/2018 (Sun) 20:27:28 [Preview] No.1043 del
>>1042
>непубличные выходные узлы
У операторов публичных выходные узлов бывают проблемы с полицией демократических государств. Оператору непубличного узла придется регулярно доказывать, что это не он взламывал банк, скачивал детское порно и угрожал взорвать Белый дом.


Anonymous 10/07/2018 (Sun) 20:32:02 [Preview] No.1044 del
>>1041
>Не всегда возможно отказаться от использования сервисов
Если ценность и популярность сервиса основана на количестве его пользователей, то используя такой сервис ты повышаешь его ценность и популярность.


Anonymous 10/07/2018 (Sun) 22:31:41 [Preview] No.1048 del
>>1043
Если одна из задач разработчиков тора - борьба с его цензурой, то нужно работать над способами сокрытия факта его использования не только от ISP, но и от конечных хостов. А они напротив, помогают сайтам детектить торбраузер и пишут гайды для админов, как блочить эксит-ноды.

>>1044
В реальном мире людям обычно нужно зарабатывать деньги, покупать товары и услуги, писать багрепорты на жизненно необходимый софт, общаться с множеством людей по разным каналам. Я не считаю, что ограничивать практическое применение КА/ИБ мелкобордами для кучки параноиков - хорошая идея.


Anonymous 10/07/2018 (Sun) 22:33:23 [Preview] No.1049 del
>используя такой сервис ты повышаешь его ценность и популярность
Я - не статистически значимая единица. Есть глобальные социальные тренды, которые формируют статистику таких сервисов и повлиять на них своим личным отказом от них я не могу.


Anonymous 10/08/2018 (Mon) 00:58:11 [Preview] No.1050 del
>>908
>2k18
>ютаб в браузере


Anonymous 10/08/2018 (Mon) 01:01:54 [Preview] No.1051 del
>>1048
>работать над способами сокрытия факта его использования не только от ISP, но и от конечных хостов.
Ну а как ты это сделаешь? Непубличные операторы еще больше подвержены бутылке, как мы выяснили.


Anonymous 10/08/2018 (Mon) 01:20:54 [Preview] No.1052 del
>>1051
Купить анонимно впс или дедик не так уж и сложно. В крайнем случае его прикроют и все. Окей, пусть непубличные экситы будут короткоживущие, как сейчас ломаные соксы - люди, готовые их поддерживать все равно найдутся.

А иначе завтра решит блядофляра заблокировать тор - и прощай полинтернетов.


Anonymous 10/08/2018 (Mon) 02:20:12 [Preview] No.1053 del
>>1052
Ну так и зачем они нужны если есть ломанные соксы?


Anonymous 10/08/2018 (Mon) 02:54:29 [Preview] No.1054 del
>>1053
Нет нормального способа прикрепить сокс на выход, не потеряв в функциональности - скажем, способов вешать отдельный сокс после тора на каждую вкладку просто нет. Редиректоры типа proxychains не очень надежны, а виртуалка - геморрой и оверхед. Владельцу сокса виден траффик и хосты (да, на эксите тоже, но зачем еще одни уши?) Частая смена соксов затруднена, что повышает риск корелляции траффика, а пользуясь одним прокси-листом от васяна нельзя быть уверенным, что даже при частой ротации их не свяжут.


Anonymous 10/08/2018 (Mon) 04:29:12 [Preview] No.1055 del
>>1054
Если экситы будут не публичными, то частая смена же тоже будет затруднена, разве нет?
>пользуясь одним прокси-листом от васяна нельзя быть уверенным, что даже при частой ротации их не свяжут.
Ну хрен знает, эксит ноды же ты узнаешь тоже от одной сущности, от торпрожекта.


Anonymous 10/10/2018 (Wed) 18:53:48 [Preview] No.1061 del
Мне пиздецки срочно нужно зарегистрироваться на гитхабе, при этом оставаясь за тором. Но эта ссанина водит меня по кругу. Помогите.


Anonymous 10/10/2018 (Wed) 22:30:46 [Preview] No.1063 del
>>1061
отключи тор в торбраузере
запусти торбраузер через торсокс или проксичейнз с одним тором в цепочке
в настройках прокси браузера укажи хттп/сокс проксю из нагугленного листа

впрочем, гугл моментально детектит публичные прокси, так что не факт что это поможет в случае с майками. тогда только покупать впн и пускать через whonix - гайды найдешь в их вики

тор отключается так (алсо, полезно для серфинга через торбраузер по ш2з):
user_pref("extensions.torbutton.use_nontor_proxy",true);
user_pref("extensions.torlauncher.prompt_at_startup",false);
user_pref("extensions.torlauncher.start_tor",false);


Anonymous 10/11/2018 (Thu) 14:23:51 [Preview] No.1069 del
FSF как-то коментирует ситуацию с гитхабом?


Anonymous 10/11/2018 (Thu) 15:27:27 [Preview] No.1070 del
>>1063
Отключать тор нельзя. И проблема не в нем, а в какой-то фиче, которая в тор браузере по умолчанию отключена. Если бы они банили торовские хосты, то так бы и писали.


Anonymous 10/11/2018 (Thu) 15:30:40 [Preview] No.1071 del
>>1063
Отключать тор нельзя. И проблема не в нем, а в какой-то фиче, которая в тор браузере по умолчанию отключена. Если бы они банили торовские хосты, то так бы и писали.


Anonymous 10/11/2018 (Thu) 15:53:39 [Preview] No.1072 del
>>1071
Какая именно фича отключается этими префами?

use_nontor_proxy отключает изоляцию цепочек на вкладках. Но какая разница, если прокся на конце одна и та же?

start_tor=false отключает запуск тора, поставляемого вместе с браузером. Если в системе стоит торовский демон, то запускать отдельный тор для браузера не нужно и даже вредно - позволяет провайдеру профилировать сессии, отличая запущенные экземпляры тора по разным гардам/бриджам.


Anonymous 10/11/2018 (Thu) 16:03:38 [Preview] No.1073 del
>>1071
А, все, понял. Мы не выключаем тор, а используем для торификации вместо средств браузера редиректор (torsocks, proxychains), чтобы средствами браузера можно было выставить сокс/хттп проксю после тора.

>а в какой-то фиче, которая в тор браузере по умолчанию отключена
Накатывай хуникс, поставь в нем хромиум. Зарегался - виртуалку уничтожил, дальше работаешь через нормальный браузер.


Anonymous 10/11/2018 (Thu) 18:41:05 [Preview] No.1074 del
Когда-то давно была возможность отличать хром от лисы по порядку HTTP заголовков. Сейчас это уже починили?


Anonymous 10/13/2018 (Sat) 17:28:29 [Preview] No.1090 del
>>1073
Причину я выявил. При каждом заходе на страницу сервер зачем-то меняет идентификатор сессии, который хранится в куках. Браузер их не затирает до закрытия, цепочки узлов тора не меняются.


Anonymous 10/13/2018 (Sat) 17:30:32 [Preview] No.1091 del
Почему в новом торе написано, что нельзя менять guard узел, хотя по факту он все равно меняется?


Anonymous 10/13/2018 (Sat) 20:38:17 [Preview] No.1095 del
>>1048
>А они напротив, помогают сайтам детектить торбраузер и пишут гайды для админов, как блочить эксит-ноды.
Их официальная политика: каждый имеет право подключаться к тор и обходить цензуру провайдера, но владельцы сайта имеют право заблокировать или ограничить доступ из тор. Это разумно и отбивает аргументы, что через тор злые хакеры поломают мой блог и украдут деньги со счета в банке и его надо запретить. Боитесь, что анонимы навредят вам, спрятавшись за торбраузером - блокируйте тор и не бойтесь.

>>1052
>А иначе завтра решит блядофляра заблокировать тор - и прощай полинтернетов.
Блядлофлара блокирует любой ip из черного списка и делает исключение для тор. С непубличной exit-ноды начнут срать школьники - она попадет в черный список.


Anonymous 10/13/2018 (Sat) 20:42:19 [Preview] No.1096 del
>>1049
>повлиять на них своим личным отказом от них я не могу.
А теперь представь, что множество людей думает также как ты и все сидят на гитхабе из-за других, потому что думают, что все остальные не хотят отказываться от гитхаба.


Anonymous 10/14/2018 (Sun) 09:24:17 [Preview] No.1100 del
>>1096
Один голос ничего не значит.


Anonymous 10/14/2018 (Sun) 18:49:13 [Preview] No.1102 del
>>1096
Это завист от разрабов. У пользователей как правило нет выбора, куда репортить баг.


Anonymous 10/14/2018 (Sun) 19:44:57 [Preview] No.1104 del
>>1096
От того, что я перестану так думать, мнение масс хомячков магическим образом не изменится.


Anonymous 10/14/2018 (Sun) 19:57:41 [Preview] No.1105 del
>>1104
А почему ты думаешь, что все остальные являются массами хомячков и только ты не хочешь пользоваться гитхабом? Чем ты отличаешься от масс хомячков, если как они создаешь там аккаунт и становишься еще одним хомячком гитхаба?


Anonymous 10/14/2018 (Sun) 20:04:03 [Preview] No.1106 del
>>1100
Проголосуешь за Путина за 500 рублей?


Anonymous 10/14/2018 (Sun) 20:57:21 [Preview] No.1109 del
>>1105
Один хомячок - не субъект, задающий социальный тренд. Субъект - хомячиная масса, её коллективное волеизъявление. И управляется это волеизъявление не личным решением одного или даже сотни хомячков, а пропагандой, направленной на миллионы. Ну, ты и сам понимаешь, что ничего не изменишь, даже если убедишь всю аудиторию эндача не пользоваться гитхабом, вместо того, чтобы вырабатывать навыки работы во враждебной среде. Аудитория пострадает, а гитхаб - нет.


Anonymous 10/15/2018 (Mon) 18:51:11 [Preview] No.1113 del
https://youtube.com/watch?v=sxo33gsDenA [Embed]
GNU Free Document License — это свободная лицензия первоначально разработанная для документов с мануалами для программного обеспечения. Начиная с 15-го октября 2018 года её решили запретить на проекте Викисклад. В этом видео я описываю лицензию и причину данного решения. ЛИЦЕНЗИЯ В отличие от моих прочих видео, я принял решение, что было-бы хорошо распространять это не только под моей стандартной лицензией CC-BY, но также под лицензией GNU FDL 1.3. Вы можете выбрать лицензию на ваш выбор.



Top | Return | Catalog | Post a reply