LINUX.ORG.RU

i2p 0.9.20

 ,


1

3

Вышла очередная версия анонимной шифрованной децентрализованной оверлейной сети i2p. Маршрутизатор i2p (так называется сервер-клиент, который используется для входа в сеть) написан на Java и содержит web-based менеджер конфигурации.

Ключевые изменения:

  • Экспорт адресной книги.
  • Поддержка SSL в серверном HTTP-туннеле.
  • Класс «M» (64-128 KBps) получают статус floodfill.
  • Увеличение предела количества соединений для классов «P» и «X».
  • Подписанные билды от разработчиков.

Также доступны исправления ошибок и оптимизации.

Подробнее почитать об i2p можно здесь.

Также стоит отметить, что недавно был добавлен ебилд для i2p (версия 0.9.18) в дерево портежей Gentoo.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: vurdalak (всего исправлений: 1)

Java wrapper починили, а то же два месяца им не пользуюсь. Ломка начинается.

anonymous
()

Разрешено

Надо будет поставить, пока ещё не забанили.

Camel ★★★★★
()

Поддержка SSL в серверном HTTP-туннеле.

Осталось понять нахрена это нужно в криптосети, где и так всё шифруется в три слоя.

А ещё есть православный i2pd, который не требует жабы, жрёт в десятки раз меньше памяти и в 5-6 раз - процессора.

anonymous
()
Ответ на: комментарий от anonymous

Осталось понять нахрена это нужно в криптосети, где и так всё шифруется в три слоя.

Ты можешь держать один роутер i2p на всю подсеть, и ходить на её прокси с другой машины. Вот между роутером и твоим клиентом будет участок сети, который не шифруется.

А ещё есть православный i2pd, который не требует жабы, жрёт в десятки раз меньше памяти и в 5-6 раз - процессора.

Как оно? Всё реализовано и работает? А то я не видел живых пользователей, а самом проверить лень.

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от anonymous

А ещё есть православный i2pd, который не требует жабы, жрёт в десятки раз меньше памяти и в 5-6 раз - процессора.

И который уязвим к простейшим атакам по типу heartbleed со стороны ФСБ. C++ лишит вас не только явы, но и свободы, здоровья и жизни, скастовав пативен.

cherry-pick
()
Ответ на: комментарий от vurdalak

Вот между роутером и твоим клиентом будет участок сети, который не шифруется.

Шта? https-вход прокси (4445 порт) существует уже чёрт знает сколько. Речь идёт о серверном тоннеле.

Всё реализовано и работает?

irc/http/socks/sam/bob - есть. Вебинтерфейса и прочих приблуд - нет, и это правильно. http/irc работает, лично проверял, остальное без надобности.

anonymous
()
Ответ на: комментарий от anonymous

https-вход прокси (4445 порт) существует уже чёрт знает сколько.

Оу, точно. Сорри.

Вебинтерфейса и прочих приблуд - нет, и это правильно.

А как туннели добавлять? Конфиг и перезапуск демона?

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от cherry-pick

heartbleed

Там не используется openssl.

атакам со стороны ФСБ

...и не используется GOST. Шапочку из фольги надень, авось поможет. И огурец в задницу, для усиления связи с землёй.

Кстати о «безопасной» жабе и «небезопасном» c++. Выдержки из новостей для 7й/8й ветки:

Что касается исправленных в Java SE 7u75 и 8u31 уязвимостей, то 14 из них могут быть эксплуатированы удалённо без проведения аутентификации. 4 уязвимостям (CVE-2014-6601, CVE-2015-0412, CVE-2014-6549, CVE-2015-0408) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

В выпусках Java SE 7u71/72 и Java SE 8u25 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 25 проблем с безопасностью. 22 уязвимости в Java могут быть эксплуатированы удалённо без проведения аутентификации. 1 уязвимости (CVE-2014-6513) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 5 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 5 проблем, максимальная степень опасности которых 6.9, затрагивают не только клиентские, но и серверные системы.

Компания Oracle опубликовала корректирующий выпуск Java SE 8 Update 40 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) с устранением 645 ошибок.

anonymous
()
Ответ на: комментарий от anonymous

ещё есть православный i2pd

Ты пробовал этим пользоваться? Слишком сырой и недоделанный. Олсо мне вот страшновато пользоваться программой на c++ в такой сфере

anonymous
()

написан на Java

ужас какой.

anonymous
()
Ответ на: комментарий от devl547

Нет, конечно. Я сам java-программист и ораклист. Открывашку бутылок и значок SUN храню как реликвии. Java объективно лучшее что придумало человечество в языках программирования за последние этак двадцать лет.

anonymous
()
Ответ на: комментарий от anonymous

Ты пробовал этим пользоваться?

Пользуюсь регулярно. Проблемы?

Слишком сырой и недоделанный.

Без пруфов на багзиллу — ты балабол, ферштейн?

Олсо мне вот страшновато пользоваться программой на c++ в такой сфере

А прогой на жабе, в которой в минорном релизе правят по десятку *удалённых* дыр и по паре сотен «тупо багов» - не страшно?

Кстати, куда слилась предыдущая ванга?

anonymous
()
Ответ на: комментарий от anonymous

Выдержки из новостей для 7й/8й ветки

Это про оракловскую жаву, если что. Есть такое же про openjdk?

И да, я более чем уверен что это про браузерную жаву. i2p работает локально, там нет никакой песочницы которую можно сломать. Наружу смотрят только голые сокеты.

vurdalak ★★★★★
() автор топика

Годно, нужно, ждём ебилдов PKGBUILD'ов

fludardes ★★
()
Ответ на: комментарий от vurdalak

Ты уже прокололся на https-прокси, не усугубляй.

Голые сокеты, говоришь? Ну-ну. Как насчёт её вебморды, где уже находили xss? Встроенного вебсервера, jetty с поддержкой как минимум cgi? Реализации http-стека в eepget, которым качают ресиды, обновления и подписки? Встроенного торрент-клиента? Встроенной вебморды почты? Сторонних плагинов, обновляемых автоматом? BOB/SAM/I2CP? xfontconfig'а и сопутствующих ошмётков иксов, которые дёргаются при построении этих красивых графиков в вебморде? JNI и «ускорялки криптографии» на си, написанной жабистами?

Близорукость жабофилов просто поразительна.

anonymous
()
Ответ на: комментарий от anonymous

Встроенного вебсервера, jetty с поддержкой как минимум cgi?

Отключается легко.

Реализации http-стека в eepget, которым качают ресиды, обновления и подписки?

Вот это хз, но думаю тоже отключается.

Встроенного торрент-клиента?

И как его похакать?

Встроенной вебморды почты?

Которой никто не пользуется, потому что централизованная почта в i2p это извращение.

Сторонних плагинов, обновляемых автоматом?

Ну знаете, как это записать в баги линукса дыры установленных поверх него программ.

И я не жабофил, я JVM как таковую не люблю. Но конкретно здесь поле для взлома невелико.

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Жабная реализация основная, плюсовая — от сторонних разработчиков. При прочих равных лучше ставить официальную жабную, потому что там будут все свежие изменения.

vurdalak ★★★★★
() автор топика

Непривычно, что новость не от анонимуса :3

mix_mix ★★★★★
()
Ответ на: комментарий от vurdalak

Но конкретно здесь поле для взлома невелико.

Во-первых, ты предпочёл проигнорить всё остальное. Во-вторых, это всё взаимодействует с внешним миром вне jvm, и значит в этом месте песочница проламывается при определённых условиях. И это в дополнение к багам и дырам самого jvm.

Комбайны никогда не бывают безбажными, тупо потому, что автор берётся за все области сразу. А писано это - 2-3 человеками от силы, не считая «однокоммитчиков» и примкнувших.

Отключается легко.

...вместе с вебмордой. Сколько из юзеров это делают, 1%?

но думаю

«индюк тоже думал, пока, ^&#^, на шашлык не попал»

И как его похакать?

Открываем сегодняшнюю новость про скайп и читаем. Принцип тот же - неправильно сформированные данные, ошибка в логике.

Которой никто не пользуется, потому что централизованная почта в i2p это извращение.

Не аргумент, включено по умолчанию, код в работе.

Ну знаете, как это записать в баги линукса дыры установленных поверх него программ.

Не передёргивай, я приводил это в контексте, что до них можно добраться из «песочницы» и заюзать дырку.

anonymous
()
Ответ на: комментарий от anonymous

это всё взаимодействует с внешним миром вне jvm, и значит в этом месте песочница проламывается при определённых условиях

Ещё раз, там нет песочницы. Это не та java которая в браузере, это полноценный веб-сервер, имеющий доступ к системе by design.

...вместе с вебмордой.

Эмм. Чтобы потушить смотрящий наружу сервер, надо просто выключить его туннель. Или мы про разные сервера?

Не аргумент, включено по умолчанию, код в работе.

Это i2p, а не софт для домохозяек. Там всё выключается, а на умолчания плевать.

Алсо, аргумент про «2-3 человека» не канает, потому что ему уже больше десяти лет, и за найденные баги ЕМНИП дают вознаграждение биткоинами. XSS был единственной известной рабочей уязвимостью, которую я могу припомнить за всё время существования i2p.

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от vurdalak

Чтобы потушить смотрящий наружу сервер, надо просто выключить его туннель. Или мы про разные сервера?

Ты опять не владеешь матчастью. Серверный туннель - вещь отдельная, но jetty отвечает также и за вебморду. И кроме того, усиленно предлагается как штатный вебсервер.

Там всё выключается, а на умолчания плевать.

«Сматли мама, я хакир!»

Алсо, аргумент про «2-3 человека» не канает, потому что ему уже больше десяти лет

вспоминаем анекдот про неуловимого индейца Джо

и за найденные баги ЕМНИП дают вознаграждение биткоинами.

Отгадай с одного раза, хватит ли у разрабов денег, чтобы перекупить баг, который нашли и собираются продать на чёрном рынке? Этож какая заготовка для ботнета.

XSS был единственной известной рабочей уязвимостью, которую я могу припомнить за всё время существования i2p.

Это говорит лишь о твоей неосведомлённости, и ничём более. См выше про индейца.

anonymous
()
Ответ на: комментарий от anonymous

Серверный туннель - вещь отдельная, но jetty отвечает также и за вебморду. И кроме того, усиленно предлагается как штатный вебсервер.

Если серверный туннель отключен, то каким образом ты достучишься до локальной вебморде, которая висит на 127.0.0.1?

вспоминаем анекдот про неуловимого индейца Джо

Ну в общем-то да, вот только это не доказывает ни уязвимости, ни неуязвимости. Зато торговля веществами и поддельными документами там вполне себе процветает, о рейдах ZOG что-то не слышно.

Отгадай с одного раза, хватит ли у разрабов денег, чтобы перекупить баг, который нашли и собираются продать на чёрном рынке?

Чёрный рынок ещё найти надо. А тут вполне законный открытый заработок. К тому же ты сам говорил про индейца — кто будет покупать инфу об уязвимости сети, где 100к узлов с трудом набирается?

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от vurdalak

А ты проверял, что доступ ко всему что нужно есть у того юзера под которым запускаешь?

Так всё работало, вот испортили несколько месяцев назад апдейтами

anonymous
()
Ответ на: комментарий от anonymous

Так проверял? Может там новый файлик с апдейтом прилетел, и права не те выставились каким-то образом.

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от vurdalak

Если серверный туннель отключен, то каким образом ты достучишься до локальной вебморде, которая висит на 127.0.0.1?

А это не единственный способ. Почта, торренты, syndie - это всё сюда же. «Новости» на главной, кстати, тоже. Хост откуда они качаются можно сломать, и jetty будет послушно рендерить то, что мы ему подсунем под их видом.

Зато торговля веществами и поддельными документами там вполне себе процветает.

Голословно, историй успеха лично я не слышал ни одной, крупных магазинов - тоже нет, клоны силкроада на LAMPе я не считаю. Рейдить там пока нечего, есть намного более быстрый и так и не сломанный тор.

А тут вполне законный открытый заработок.

...и до смешного маленький.

100к узлов

это уже немало. Плюс в наличии сильная криптография, и «примелькавшиеся» провайдеру хосты с большими объёмами шифрованного трафика.

anonymous
()
Ответ на: комментарий от anonymous

историй успеха лично я не слышал ни одной

Историй успеха от кого? На скрытаче были. А IRL конечно не услышишь, оно же анонимное.

есть намного более быстрый и так и не сломанный тор

У тора области применения другая, и у него уязвимость выходной ноды by design.

это уже немало

Ты же только что говорил что оно никому не нужно и вообще неуловимый Джо.

«Новости» на главной, кстати, тоже. Хост откуда они качаются можно сломать, и jetty будет послушно рендерить то, что мы ему подсунем под их видом.

Ок, согласен что оно взаимодействует с внешними хостами. Но я не думаю что там есть что хакать, разве что вредную ссылку в новость подсунуть и ждать, пока кто-то перейдёт.

vurdalak ★★★★★
() автор топика

Оно до сих пор на жабе? В топку!

anonymous
()
Ответ на: комментарий от anonymous

Олсо мне вот страшновато пользоваться программой на c++ в такой сфере

Тогда от жабы у тебя должен инфаркт случаться.

anonymous
()
Ответ на: комментарий от cherry-pick

И который уязвим к простейшим атакам по типу heartbleed со стороны ФСБ. C++ лишит вас не только явы, но и свободы, здоровья и жизни, скастовав пативен.

Только ирл пативен почему-то все время фбровский. Что-то неладно в этой сказке...

anonymous
()
Ответ на: комментарий от vurdalak

Историй успеха от кого? На скрытаче были.

«Я тян, пруфов не будет», ага. Это мог быть и владелец магазина, лол. Ещё раз, докажи мне своё утверждение «процветает».

У тора области применения другая, и у него уязвимость выходной ноды by design.

А я и не говорил про выходную ноду. тот же силкроад жил как скрытый сервис.

Ты же только что говорил что оно никому не нужно и вообще неуловимый Джо.

Именно. Никто тоже не думал, что openssl можно легко проломить, но когда это случилось, косяки попёрли валом.

Но я не думаю

Вот, опять. А ты попробуй, srsly. Знаешь такую англоязычную идиому?

anonymous
()
Ответ на: комментарий от anonymous

тот же силкроад жил как скрытый сервис.

В плане скрытых сервисов там почти то же самое что у i2p, только меньше шифрования.

Именно. Никто тоже не думал, что openssl можно легко проломить, но когда это случилось, косяки попёрли валом.

Не понял логики. При чём тут «никто не думал» к нужности или ненужности? Либо сеть популярна и есть желающие её хакнуть, либо непопулярна и на хаки никто не будет обращать внимания. i2p популярна, но информации о хаках кроме XSS не было, поэтому можно считать её условно безопасность (условно, потому что 100% безопасного софта не бывает).

vurdalak ★★★★★
() автор топика

Пока есть тор, точнее тор-браузер, эта поделка не взлетит. Просто по закону простоты и удобства. И дискредитация тора не поможет.

anonymous
()
Ответ на: комментарий от vurdalak

В плане скрытых сервисов там почти то же самое что у i2p, только меньше шифрования.

А вот и нет. i2p лезет в сам http за подменой заголовков. Но это работает в обе стороны - поставь галочку напротив ещё одного вектора атаки. А Tor работает как socks, и ему абсолютно похрен, что там передаётся уровнем выше, это просто труба для данных.

Не понял логики.

Ещё раз - сеть маленькая, да, поэтому *сейчас* не заморачиваются, думая что сложно и не окупится. Но вот всплывает некий баг детского уровня, народ прозревает и сеть начинают целенаправленно разбирать по запчастям. Сразу и много. Халява, сэр.

Вот например такой занятный факт, как ручное регулирование количества флудфилов в сети - ни о чём не говорит?

но информации о хаках кроме XSS не было

...или ты про них не слышал, повторяю.

Глобальная проблема i2p - в упоротейшей архитектуре. Да, криптографии накручено сверх всякой меры и здравого смысла, но в инфраструктуре - слона можно протащить через дыру в заборе. Ресид, например. Отличная штука.

anonymous
()
Ответ на: комментарий от anonymous

В том что они для разных нужд используются. tor это такой проксик для доступа к интернету, а i2p это закрытая извне самостоятельная сеть.

vurdalak ★★★★★
() автор топика

Я не спрошу зачем это нужно.
Я не спрошу, чем оно лучше/хуже тора.
Но для чего им пользуются? В руторе есть, как минимум, RAMP, R2D2. В заграничном торе SM, BMR.
Что есть сегодня в айтупи?

Kaschenko
()
Ответ на: комментарий от vurdalak

У тора области применения другая, и у него уязвимость выходной ноды by design.

При общении с онион сайтами никакой выходной ноды нет. А вот у айтупи есть бай дизайн уязвимость со списком айпишников и ддосом. Ну да и хрен бы с ним, что там есть-то хорошего?

Kaschenko
()
Ответ на: комментарий от Kaschenko

Онион сайты не прижились, их мало и они малопопулярны. Хз почему так, видимо исторически сложилось.

А вот у айтупи есть бай дизайн уязвимость со списком айпишников и ддосом.

Можно поподробнее?

А что там хорошего — хз если честно, я там редко бываю в последние пару лет. До этого новости почитывал и на бордах сидел.

Сейчас через меня идёт трафик 150kbps (такое ограничение чтобы ресурсы не жрало, можно и больше), так что сеть как минимум не умерла :)

vurdalak ★★★★★
() автор топика
Ответ на: комментарий от vurdalak

В том что они для разных нужд используются. tor это такой проксик для доступа к интернету, а i2p это закрытая извне самостоятельная сеть.

Не хотел разводить срач тор vs айтупи, но это вообще огонь.

Kaschenko
()
Ответ на: комментарий от vurdalak

Эмммм...
В торе есть работающие рынки с большой аудиторией, я хотел узнать о чём-то подобном в айтупи.

По поводу атаки - с мобилы пруфы искать лень. Общий смысл: по списку айпишников кто-то, обладающий достаточными мощностями(спецслужба) по имеющемуся списку айпи кладет половину хостов. Если искомый в строю - половину от оставшихся. И т.д, до вычисления сервера.

Kaschenko
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.