А о какой анонимности тора может идти речь вообще?

ну запросит он этот адрес и что? соединение ведь опять через тор пойдет.

В этом плане самые опасные вещи - это Flash и WebRTC (будь он не ладен), которые подключаются именно в обход прокси и, поэтому, если ты не умеешь/не хочешь конфигурировать браузер вручную то можешь использоваться Tor Browser, в котором все и так безопасно

Запросы от браузера все равно пойдут на сервак через тор, так что твой ip сервак не получит. Прмежуточный узел ничего заинжектить не может, через него траффик идет в зашифрованном виде.

Опасность в том, что жабаскрипт может собрать данные про твой браузер и комп (версия браузера, установленные плагины, твой язык, формат даты и времени, резолюция экрана, версия операционки, установленные шрифты, ...) и послать на сервер все это. А после этого ты пойдешь на другой сайт не через тор, и там засветишь все те же данные вместе с ip. И теоретически, злоумышленник, который контролирует оба сайта, сможет сопоставить эти данные и соотнести твой ip с тем, что ты делал через тор.

Выходит, что JS не опасен вообще. Это уже какие-то параноидальные опасения

В обход прокси можно браузер в сеть не пускать. Настраивается при помощи route и iptables, инструкции в сети есть. Это-то как раз не проблема.

Опасен. Фингерпринтинг работает просто великолепно. Если, например, все «белые» каналы контролируются правительством (как в Китае), и конкретный сервак, на который ты ходишь через тор, тоже, то вполне могут взять за мягкие части тела. Весь вопрос в том, кому ты нужен и зачем тебе понадобился тор. Если только для того, чтобы книжки качать, то достаточно прибавить к onion-адресу ".to", и можно ходить через обычный интернет.

Опасность в том, что жабаскрипт может собрать данные про твой браузер и комп

А ещё в нём бывают а-анальные уязвимости. Всё-так браузер без JS много проще (а значит много надёжнее) браузера с JS. На сколько я понимаю сейчас уязвимости браузеров это в основном уязвимости эксплуатируемые из JS.

И это тоже. Обычно эксплуатируют уязвимости не самого браузера, а плагинов и расширений. Но уязвимости теоретически можно закрыть, а фингерпринтинг - концептуальная проблема. Кое-что можно скрипту не давать, но если скрыть от скриптов все данные, то они просто перестанут работать.

Иди читай матчасть, а лучше - делай уроки. Ну и так тебе для информации: есть такое расширение для браузеров NoScript - называется. Тупой вброс в общем. Если ты можешь деанонимизимровать пользователя TOR, то ты будешь очень интересен целому ряду людей на Земле. Удачи.

Нет. Все компы достаточно уникальны.

Кстати, почему до сих пор не запилили плагин, который позволял бы подделывать информацию, отдаваемую браузером, вроде ОС, разпешения экрана и т.д.?

Запилили, только они не всегда работают.

А в чем проблемы? То есть почему не срабатывают? Вроде поменять юзерагент и сообщить что разрешение экрана другое не так сложно (вообще не очень понимаю зачем серверу мое разрешение экрана, «рендер» все равно на моей стороне идет).

Ну от запроса картинок и всякой хрени помогает например requestPolicy. Но анонимность через браузер это и правда что-то в корне ущербное, слишком уж они сложны и многое позволяют.

и айпи будет зафиксированно, так?

а этот твой скрипт в интернет не через браузер что ли лазит, хакир мамкин?

Ну вот отформатировал скрипт дату со временем и несколько чисел в строки, посмотрел на результат - и уже знает твою локаль и язык (через названия дней недели и месяцев). Потом создал div со стилем «fixed,100%x100%» посмотрел его offsetHeight и offsetWidth и понял размер окна. Округлил вверх до ближайшей стандартной резолюции, и уже имеет хорошее предположение о размере экрана. Отрендерил в canvas текст разными шрифтами, сравнил результат с шаблоном и понял, какие шрифты есть в системе. Ну и так далее.

Не, я понимаю как эту информацию получить, я не понимаю зачем серверу она может понадобится кроме как для слежения за мной. То есть я хочу сказать что в нормальной ситуации эту информацию сайт просто не должен собирать, ему то она, в целом, не нужна.

В нормальной - да. Но если сайт хочет за тобой следить, то очень сложно ему в этом помешать.

А в чем проблемы? То есть почему не срабатывают?

Вот, например, TOR Browser не дает JS получать содержимое канваса, точнее, спрашивает об этом.
Я думаю, что сложность не в том, чтобы запретить, а в том, чтобы определить что именно запретить, т.к. всплывают всё новые и новые методы получения отпечатка. Либо можно запретить JS вообще, но тогда некоторые сайты станут неюзабельными. Возможно, хорошим решением будет использование стандартной чистой ОС в виртуальной машине. Все настройки стандартные, все шрифты стандартные, т.п. Тогда и отпечаток будет ни о чём... Наверное.

Хоть вопрос и решили, но темя интересная и тут есть что обсудить.
Например:
Как огородить сам TOR Browser на случай наличия в нём уязвимостей?
Насколько можно доверять самому демону TOR, можно через него пентагон ломать или только картинки с понями скачивать?

А о какой анонимности может идти речь вообще

Поправил. Не благодари

Я те запилю!

огородить сам TOR Browser

Whonix

Есть такой - Random Agent Spoofer.

Я че-то подумал

Не льсти себе

1) жабаскрипт сам никуда ничего не отправляет, он говорит браузеру что туда-то и туда-то нужно сделать GET запрос или отправить POST

2) браузер разрешает жабаскрипту делать запросы только на тот сайт на котором он находится либо на родственные сайты у которых в заголовке прописано разрешение на кросс доменные запросы.

Если всё настолько серьёзно, браузер лучше запускать на анонимной VPS, и уже к ней коннектиться через даркнет.

Ты прежде, чем торопливо писать свой коммент, может сначала почитаешь, о чем тут до этого говорили. Может, и не понадобится твой коммент.

Так и есть. В инструкциях по сетевой анонимности это примерно первый пункт в списке необходимых предосторожностей.

у меня дома две wi-fi сетки, называются spoofing_home с wep+wpa2 паролем и spoofing_onion незапароленная. если подключиться к spoofing_onion, то попадёшь в tor-сеть, т.е. tor работает как прозрачный прокси-сервер для wi-fi сети.

тобишь, все соединения, будучи ты подключенным к spoofing_onion, будут проходить через tor. и пох на всякие там скрипты или ещё чего. да сами апдейты windows 10 будут качаться через tor!

Если ты можешь деанонимизимровать пользователя TOR, то ты будешь очень интересен целому ряду людей на Земле. Удачи.

https://xkcd.com/538/

PS: И IIRC уже не один раз было.

Ну вот зашел ты через тор в вконтактик и он выдал тебе вконтакто-куку. А затем ты через тор зашел на сайт, где есть кнопка «репостить в вконтакт». И JS от вконтакта, который увидит твою вконтакто-куку и сайт, на который ты зашел. Таким образом вконтакт будет знать, куда ты ходишь.

Во-первых желтуха. Во-вторых даже глядя на ламерскую статью, написанную не шарящими ни в чём желтушниками, понятно, что проблема не в TOR как в технологии, а в куче нюансов в конкретном случае, которые к чему-то привели. Про технологию деанонимизации пользователя TOR в результате взлома механизма сети ни сказано не слова.

Используй tor browser

В этих то нюансах всё и дело. Что бы смысл от tor имел место быть им должны пользоваться или все или никто.

Пока им пользуются единицы — их вычислить особого труда не стоит.

Советую глянуть: https://youtu.be/43DR7cwpI1M

Бред про отпечатки которые можно скомпоновать жабаскриптом и отослать куда-то. Твой браузер когда страницу грузит он уже серверу сообщил все что можно, а ставить на то что какой то код из рантайма может сделать что то такое о чем никто заранее не подумал и накидать каких то совершенно идиотских-ясельных схем это так по школьному.

2) браузер разрешает жабаскрипту делать запросы только на тот сайт на котором он находится либо на родственные сайты у которых в заголовке прописано разрешение на кросс доменные запросы.

Это не совсем правда. GET или POST запросы можно делать куда угодно. Нельзя читать ответы от этих запросов (кроме специальных случаев).

Я так понимаю, автор вбросил и слился в самом начале. )

Если на сайте висит какой-нибудь вконтактовый виджет (типа кнопки лайк или чего у них там), то браузер загрузит картинку этой кнопки с сервера вконтактика и отошлет ему в заголовке HTTP запроса и куку, и реферер (т.е. страницу, на которой ты сейчас). Никакой жабаскрипт в этом сценарии вообще не нужен.

Кстати, так соц-сети через кнопку лайк по всему интернету на самом деле и шпионят за пользователями. Для слива истории пользователю ничего нажимать не нужно, достаточно, что кнопка на сайте отобразилась. И рекламные сети так же по баннерам (первый баннер ставит куку с ид пользователя, все последующие баннеры той же сети во всем интернете дополняют историю этого пользователя).

То есть я хочу сказать что в нормальной ситуации эту информацию сайт просто не должен собирать, ему то она, в целом, не нужна.

В смысле не нужна? Размер твоего экрана может использоваться, клиентским же скриптом, для адаптивности, или просто анимации элементов. Твой юзер-агент, может использоваться для фикса каких-то кроссбраузерных штук ( и не суть, что это плохо, суть что это используют для вполне легальных вещей), а уж отследить что там рендерят на канвасе, и с какой именно целью (снимают с тебя фингерпринт или рисуют тебе банер) ты не сможешь. Ровно как и не сможешь из всей кучи данных передаваемых на сервер выдернуть то, что тебя компрометирует. А если ты начнешь подменять все эти вещи на клиенте, то и функционировать сайт может начать иначе.

Ну ты логически подумой.

Ну ты хоть немного в теме разберись, прежде чем глупости писать. Вот тут почитай, хотя бы: https://amiunique.org/faq

вот и выросло поколение, считающее что для манипуляции куками и реферерами нужен js

2) браузер разрешает жабаскрипту делать запросы только на тот сайт на котором он находится либо на родственные сайты у которых в заголовке прописано разрешение на кросс доменные запросы.

4.2 CORS не распространяется и не может распространятся на GET запросы а гетом можно передать много чего и куда угодно

Размер твоего экрана может использоваться, клиентским же скриптом

Я и говорю что серверу эта инфа не нужна просто потому что это все на клиенте рисуется, сервер всегда одно и то же отправляет.

На счет передачи юзерагента ничего против не имею - как минимум благодаря этому можно редиректнуть пользователя на мобильную версию сайта (и показать красивую фигу если он вдруг пришел с шестого осла).

evercookie!

ТС, понимаешь, если ты будешь реально интересен определенным людям - тебя возьмут за жопу так, что ты сам им все расскажешь. просто что паяльник выключили и деревенского гомика-беспредельщика обратно в клетку загнали. По поводу TOR - проксирование само по себе не является анонимностью. Если федя сказал толе, а толя - кате, то это не значит что катя не спалит федю, для этого есть тысячи различных методов. И в случае браузера JS - один из них

Если только для того, чтобы книжки качать, то достаточно прибавить к onion-адресу ".to", и можно ходить через обычный интернет.

А можно пожалуйста список ссылок на склады годной электронной литературы по информационной безопасности?

можно же запускать браузер из виртуалки, которую сделать типовой и безликой. но это уже извращения. хотя я вот его запускаю под другим юзером, очень ущемлённым в правах и доступах к системе. можно ещё под чрутом запускать.
но по сути не столько жабаскрипт зло, сколько говнокодеры. и на многих сайтах неправильно написанные скрипты дико жрут ресурсы и вообще насилуют систему. потому его лучше запрещать по умолчанию.

Уже надоели его форсить, если так часто менять user-agent, тем более на какой-то редкий, то как раз даже если будет менять ip-адрес часто, просто будет тебя выделить. Именно по этому у Lor-браузера одинаковый user-agent и другие параметры. А js там включен по умолчанию, потому-что, проще будет если он у всех будет включен, и так как давлению в основном подвергаются журналисты, которые мало чего понимают не в своей профессии зачастую, то проще оставить js включенным, чтобы человек не перешел на другое свое костыльное решение потому-что сайт не открываются, и за ним не приехала гебня.

часто менять user-agent

Кто-то заставляет? В нём кроме UA есть функции - например, менять таймзону, разрешение и т.п. Собственно, человек спросил - я ответил. Конечно, с Tor Browser это сильно более вредно, нежели полезно, но о TB он ничего не говорил.

Выходит, что JS не опасен вообще. Это уже какие-то параноидальные опасения

У js есть потенциально опасные методы, которые позволяют идентифицировать браузер, даже если ты трёшь куки, см. https://panopticlick.eff.org/ В принципе браузер Tor старается максимально ограничить эти функции, но поскольку js сложный и никогда заранее нельзя узнать, что люди придумают, некоторые (я лично думаю, что «параноики» тут — самое подходящее слово) предпочитают целиком ограничить js.