/ca/ - Crypto-Anarchism

Криптоанархизм, Шифропанк, Практическая информационная безопасность

Posting mode: Reply

Check to confirm you're not a robot
Name
Email
Subject
Comment
Password
Drawing x size canvas
File(s)

Remember to follow the rules

Max file size: 350.00 MB

Max files: 5

Max message length: 4096

Manage Board | Moderate Thread

Return | Catalog | Bottom

Expand All Images


(73.53 KB 1200x725 1537057845745.png)
Anonymous 09/16/2018 (Sun) 16:07:45 [Preview] No. 556
Здесь обсуждаем компрометацию Tor Browser и что с ней делать.

Что имеем:
https://blog.torproject.org/comment/277025#comment-277025

- Версия 7.х со слов неких "эксплоит-брокеров" имеет уязвимость (возможно, вброс)
https://www.theregister.co.uk/2018/09/10/torched_zerodium_drops_exploit_for_version_7_of_anonymous_browser/

- Обновления автоматическии устанавливаются без каких-либо оповещений что даёт возможность встроить троян при компрометации организации, разрабатывающей браузер

- В версии 8.0 запрещено менять Tor Circuit

- В версии 8.0 при перезагрузке сбрасываются настройки NoScript в положение "js активирован"


Anonymous 09/16/2018 (Sun) 16:40:50 [Preview] No.557 del
>Обновления автоматическии устанавливаются
Выключи автоматическое обновление в настройках
>В версии 8.0 запрещено менять Tor Circuit
Нажми на кнопку слева от адреса страницы с замком, там можно сменить Tor Circuit

Для глупых вопросов есть специальный тред.


Anonymous 09/16/2018 (Sun) 17:07:28 [Preview] No.558 del
>>557
Отключил обновления в настройках,но тор все равно обновился...


Anonymous 09/16/2018 (Sun) 22:46:15 [Preview] No.570 del
>>558
Тебе нужно успеть сменить настройки, пока он не скачал обновление(а скачивает он быстро), иначе тор браузер обновится.
Но лучше не использовать старую версию.


Anonymous 09/17/2018 (Mon) 18:04:57 [Preview] No.589 del
>>570
Чем лучше?


Anonymous 09/22/2018 (Sat) 06:06:31 [Preview] No.654 del
Лисоговно опять скрыто устанавливает дополнения для сбора телеметрии.
https://habr.com/post/424065/


Anonymous 09/22/2018 (Sat) 17:57:16 [Preview] No.656 del
Так-с, так-с, в 8.0.1 вернули виндовый UA в HTTP как было, а в window.navigator по-прежнему раскрывается реальная ОС. Ну вот не дебилы ли?

Всё, теперь только на всяких маргинальных бордах через тор аутировать, даже крипту не поменять на поголовно заскриптованных обменниках.


Anonymous 09/22/2018 (Sat) 19:43:45 [Preview] No.662 del
>>654
Где результаты-то посмотреть?


Anonymous 09/22/2018 (Sat) 21:00:50 [Preview] No.667 del
>>656
Тоже хотел написать. Надо багрепорт отправлять!
Причем в 8.0 проблема просто решалась установкой расширения, где менялся и navigator.

А сейчас на винде в 8.0.1:
UA в HTTP:
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0
UA в javascript:
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0

Теперь для тора на винде юзерагенты различаются в зависимости от способа их получения!

Нужно либо самостоятельно править код этих расширений для изменения UA только в navigator, либо сидеть без скриптов. Или иначе уникальный фингерпринт. Сделаешь с помощью готового расширения - будет хуже, чем просто ходить с линуксом и скриптами. Будешь такой один.
И главное, большинство юзеров не выключают скрипты! У них можно дальше узнавать реальную ОС. Мозилла устроила просто прекрасную подлянку! Преднамеренно или нет - не важно. Так ещё разработчики тор браузера исправить нормально не могут!

Интересная статья про историю внедрения privacy.resistfingerprinting:
https://www.ghacks.net/2018/03/01/a-history-of-fingerprinting-protection-in-firefox/
Там приводится ссылка на багрепорт:
https://bugzilla.mozilla.org/show_bug.cgi?id=1409269
(да, до этого там был другой багрепорт про мак, но изменения произошли именно из-за этого)
Все изменения с юзерагентами сделаны, потому что реальная ОС может утечь благодаря фингерпринту по TCP/IP. Но утекает ОС из конца цепочки прокси, можете проверить(большинство выходных нод на линуксе, поменяйте цепочку, там будет старая версия ядра или FreeBSD): https://browserleaks.com/ip

А значит, эта фича "отсутствия конфликтов различных методов для определения ОС" для тор браузера абсолютно бесполезна(это сказал и сам девелопер), потому что она не узнает ОС выходной ноды, а юзерагент следует ОС, где браузер находится. И в конце цепочки обычно находится линукс, а юзерагент берут с винды, потому что там больше пользователей.
Но почему-то в мозилле не подумали о прокси и торе. Не добавили отдельную настройку, чтобы можно было разрешить изменять юзерагент. Или не реализовали возможность как-то автоматически детектить ОС прокси или впна, хотя это очень сложно или невозможно.


Anonymous 09/23/2018 (Sun) 03:48:05 [Preview] No.671 del
А вся эта дикая хуйня происходит из того, что вы пытаетесь натянуть анонимность на веб, который слишком сложен и вообще враждебен этому.

Ладно с Тором - он для выхода в обычный интернет нужен - но зачем было делать скрытый веб в И2П? Разве сложно было сделать свою упрощённую гипертекстовую систему? На Маркдауне каком-нибудь или даже проще, без Джаваскрипта, без куков, без юзер-агентов, без фингерпринтов, без нихуя. Просто текст со ссылками, встраиваемыми картинками и формами, чтобы сообщения отправлять.


Anonymous 09/23/2018 (Sun) 13:52:13 [Preview] No.672 del
>>671
ш2з на транспортном уровне же работает, никто не мешает тебе пустить через него векторный гипертекстовый фидонет или ирку


Anonymous 09/23/2018 (Sun) 15:30:42 [Preview] No.674 del
>>671
>Разве сложно было сделать свою упрощённую гипертекстовую систему?
Её нужно сделать независимо от транспорта. Для динамических страниц не нужно исполнение всякого говна вроде жс, смену стилей по евентам можно нахуярить с минимальными изменениями на html&css, даже xhr с шаблонами. Для ориентированых на анонимность сайтов в скрытосетях лучше конечно ещё упростить. Проблема только с клиентами. Разве что голый html4 браузерам кормить.


Anonymous 09/23/2018 (Sun) 16:38:31 [Preview] No.679 del
>>671
Во фринете именно так.


Anonymous 09/23/2018 (Sun) 19:00:27 [Preview] No.681 del
>>667
>Так ещё разработчики тор браузера исправить нормально не могут!
Не хотят. С трудом уговорили отправлять винду, а не реальную ОС в UA в HTTP.

>Теперь для тора на винде юзерагенты различаются в зависимости от способа их получения!
Так задумано. В HTTP винда, а в js реальная ОС.

>Но почему-то в мозилле не подумали о прокси и торе. Не добавили отдельную настройку, чтобы можно было разрешить изменять юзерагент.
Об этом думать должны не в мозилле, а разработчики тор браузера. А они отказываются прятать реальную ОС. Это не техническая проблема.


Anonymous 09/24/2018 (Mon) 12:24:44 [Preview] No.717 del
>>681
Я вот почему-то ни секунды не совмевался, что в следующей же версии вернут в зад, но не до конца. Что-то мне это напоминает.


Anonymous 09/24/2018 (Mon) 13:21:11 [Preview] No.718 del
>>717
Что?


Anonymous 09/24/2018 (Mon) 13:37:24 [Preview] No.719 del
>>718
Ввод анальных законов.


Anonymous 09/24/2018 (Mon) 15:29:46 [Preview] No.721 del
>>719
Окно Овертона, тиапа? Сначала полный абсурд делаем действительностью, а потом немного ослабляем давление и уже ранее ненормальные вещи принимают как что-то хорошее.


Anonymous 09/24/2018 (Mon) 19:38:42 [Preview] No.724 del
Блядофляра что-то взбесилась с новой версией.


Anonymous 09/24/2018 (Mon) 19:45:56 [Preview] No.726 del
В восьмом тор браузере я недавно заметил, что два, а то и три (т. е. все) пира подряд могут находиться в одной и той же стране. Можно как-то через torrc это запретить? В идеале, разнести все три по разным странам.


Anonymous 09/25/2018 (Tue) 07:51:49 [Preview] No.737 del
Свистните, когда можно будет обновиться.
Инбифо: никогда.


Anonymous 09/25/2018 (Tue) 15:58:33 [Preview] No.745 del
Firefox и Tor Browser обновляя extensions.blocklist раз в сутки сливает версию ядра linux на сервера мозиллы, и разрабы Tor за шесть лет https://trac.torproject.org/projects/tor/ticket/6734 не устранили этот беспредел.
https://trac.torproject.org/projects/tor/ticket/16931


Anonymous 09/26/2018 (Wed) 02:03:35 [Preview] No.754 del
>>745
Блять. Почему я этого не знал? Ну это же пиздец.


Anonymous 09/26/2018 (Wed) 20:52:20 [Preview] No.762 del
>>737
Сейчас.
На старой версии не работает HTTP/2.

Как минимум на сайтах с клаудфларой, клаудфлара будет знать, что у тебя старый браузер и сможет тебя отслеживать.


Anonymous 09/27/2018 (Thu) 07:03:52 [Preview] No.766 del
>>762
Торбраузер больше не клон гуглхрома, а входная нода меняется?


Anonymous 09/27/2018 (Thu) 18:42:31 [Preview] No.768 del
>>766
>а входная нода меняется?
Добавь в скрипт запуска удаление файла state или запиши Tails на флешку.


Anonymous 09/28/2018 (Fri) 11:22:43 [Preview] No.777 del
Если кто-то из вас заинтересован в решении проблемы фингерпринта и заскриптованности сайтов, и готов оказать посильную помощь, просьба отписаться в треде. Решение есть.


Anonymous 09/28/2018 (Fri) 18:34:07 [Preview] No.785 del
>>777
>просьба отписаться в треде. Решение есть.
Почему ты не пишешь, какая посильная помощь тебе нужна, а ждешь, что кто-то отпишется в треде?

Я вижу только два выхода - давить на разработчиков браузера или сделать форк и убедить как минимум половину линуксоидов использовать форк вместо официальной версии.


Anonymous 09/28/2018 (Fri) 18:51:57 [Preview] No.788 del
>>777
>заскриптованности сайтов
Запилить минималистичную альтернативу, покрывающую большинство потребностей - изменение стилей и подгрузка контента по клику. Сделать скорее всего не сложно, хоть сколько-нибудь популиризовать уже проблема.


Anonymous 09/28/2018 (Fri) 22:04:08 [Preview] No.816 del
>изменение стилей и подгрузка контента по клику
Ты хочешь создать с нуля юзерскрипты и юзерстили?


Anonymous 09/29/2018 (Sat) 18:54:52 [Preview] No.823 del
>>785
Потребуется сделать вот что:
1) Детализировать описание рашения до такой степени, чтобы его могли реализовать в браузерах.
2) Продвинуть это решение до уровня создателей браузеров и W3C.


Anonymous 09/29/2018 (Sat) 19:32:53 [Preview] No.824 del
>>816
Нет.
Ты никогда не задумывался, почему в каждом скрипте доступны сразу все Web-whatever-API, есть полный доступ к DOM и возможность подтянуть на страничку любой файл с любого URL? Почему я, как веб-разработчик, не могу загрузить внешний скрипт, запретив ему любым способом отправлять данные каким-либо способом, будь то AJAX или еще что-нибудь?

Почему я не могу изолировать скрипт, использующий к примеру WebGL, от всех возможностей отсылать данные в сеть?

А теперь попробуй представить, что во всех браузерах появилась возможность задавать каждому скрипту свои ривелегии и свой Global Environment, изолированный от других скриптов.
Это и есть решение.
Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Тогда уже и в браузерах можно будет вводить избирательную блокировку скриптов, в которых одновременно доступны источники фингерпринта и возможности посылки запросов в сеть.


Anonymous 09/29/2018 (Sat) 19:37:16 [Preview] No.825 del
>>788 -> >>824
Сорян, ошибся постом


Anonymous 09/29/2018 (Sat) 22:24:38 [Preview] No.831 del
>>816
Не юзер- и с ограничеными возможностями. Для многих сайтов скрипты не нужны только чтобы по клику переключить стили/загрузить с сервера кусок страницы. Т.е. такой код можно не исполнять транслируя в машинный, а просто парсить как разметку, по сути это её небольшое расширение.


Anonymous 09/29/2018 (Sat) 22:34:15 [Preview] No.833 del
>>823
Можно на первых порах реализовать аддоном. Собственно всё, что нужно - возможность прописывать в html onclick не-жс, или ограниченный жс с функциями селекта по css id/class, смены их же и отправка запроса, который будет напрямую вставляться в .innerHTML. Этого достаточно для большинства сайтов, которые сегодня не работают без жс, при этом писать их станет проще и браузеры скорее всего дут жрать меньше. Для более свистоперделочных сайтов это не подойдёт, тут уже как ты предлагаешь нужны ограничения, но я не думаю, что оно взлетит - на данный момент возможности к ограничению есть и на них разрабы просто кладут хуйцы - если у 3.5 параноиков не работает сайт, им просто похуй.


Anonymous 09/30/2018 (Sun) 07:40:21 [Preview] No.844 del
>>833
> Для более свистоперделочных сайтов это не подойдёт, тут уже как ты предлагаешь нужны ограничения, но я не думаю, что оно взлетит - на данный момент возможности к ограничению есть и на них разрабы просто кладут хуйцы - если у 3.5 параноиков не работает сайт, им просто похуй.

Так в том всё и дело, что настройка ограничений должна быть стандартной и универсальной, дабы можно было увешивать сайт свистоперделками и не тревожить при этом privacy-conscious persons, которых намного больше чем 3,5 анонимных параноика. Только такая спецификация может взлететь и преодолеть сопротивление жадных говноедов, для которых сокращение возможностей фингерпринта сулит финансовые потери.


Anonymous 09/30/2018 (Sun) 07:45:21 [Preview] No.845 del
Допустим, что у меня есть готовая спецификация под это >>824 решение. Лушче обращаться с нею сразу в W3C или сначала по браузерным багтрекерам раскидать?


Anonymous 09/30/2018 (Sun) 09:39:44 [Preview] No.849 del
>>845
Без патча ты сам знаешь кто.


Anonymous 09/30/2018 (Sun) 14:08:51 [Preview] No.850 del
>>844
>жадных говноедов
Которые и держат 99% свистоперделочных сайтов и на спецификацию будут класть, ибо жс гугл из своего браузера против своих интересов вырезать не станет.


Anonymous 09/30/2018 (Sun) 14:47:16 [Preview] No.852 del
>>833
По онклику загружай контент в ифрейм, как деды делали, и не выёбывайся.


Anonymous 09/30/2018 (Sun) 15:41:28 [Preview] No.853 del
>>852
Это не позволяет отказаться от жс и нет возможности по онклику менять контент частично, а из ифрейма в основном документе просто ничего не поменять.


Anonymous 09/30/2018 (Sun) 18:22:36 [Preview] No.855 del
>>845
>Лушче обращаться с нею сразу в W3C
Туда уже обратились жадные говноеды, готовые поделиться частью прибыли от возможностей фингерпринта. Поэтому в HTML5 добавляют функции для сбора информации о системе через браузер.


Anonymous 09/30/2018 (Sun) 18:30:19 [Preview] No.856 del
>>824
>Почему я, как веб-разработчик, не могу загрузить внешний скрипт
Потому что ты говноед, загружающий скрипты с серверов корпораций.

>Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Им плевать. Любому грамотному человеку изначально понятно, что архитектура NPM с загрузкой и автообновлением модулей от мимокрокодилов - небезопасное говно. Но они продолжают ей пользоваться даже после недавнего протроянивания npm-модуля.


Anonymous 09/30/2018 (Sun) 18:32:45 [Preview] No.857 del
Вы не тем занимаетесь, у нас тут из javascript утекает реальная ОС в тор браузере, а вы думаете как использовать сайты со скриптами без скриптов.

>>824
Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
>Тогда уже и в браузерах можно будет вводить избирательную блокировку скриптов
Для юзеров разобраться в каких-то простых вещах сложно, а во всех API javascript будет весьма проблемно. Будет либо будет разделение привелегий для разработчиков по API, в котором можно будет всё в точности отрегулировать, либо для юзеров, в которой всё будет просто, но с определенным запретом будет отметаться половина возможностей скриптов.

>>831
>нужны только чтобы по клику переключить стили/загрузить с сервера кусок страницы. Т.е. такой код можно не исполнять транслируя в машинный, а просто парсить как разметку
Это можно сделать тысячей различных способов в javascript. Я не понимаю, как это можно сделать без выполнения кода, если с сервера загружается не просто html, а json.

>>833
>достаточно для большинства сайтов
Нет.

>>853
>нет возможности по онклику менять контент частично
Браузер будет загружать из кеша весь неизмененный контент.
>ифрейма в основном документе просто ничего не поменять
Тебе не нужно ничего менять в основном документе. Тебе нужно загружать дополнительный контент при желании юзера. Всё, что нужно менять, пихать в отдельные ифреймы.


Anonymous 09/30/2018 (Sun) 18:36:19 [Preview] No.858 del
>>855
Ссылку.


Anonymous 09/30/2018 (Sun) 18:41:41 [Preview] No.859 del
>>856
>>856
>с загрузкой и автообновлением модулей
Можно подумать без автообновления так сложно вставить троян.


Anonymous 09/30/2018 (Sun) 18:45:43 [Preview] No.860 del
>>849
Предлагаешь собственноручно написать сразу с реализацией в виде форка лисы?
>>850
>Которые и держат 99% свистоперделочных сайтов и на спецификацию будут класть
Ты не прав. 99% коммерческих сайтов, если ими владеют не ИТ компании, делаются не теми, кто стрижет с них купоны. Это дело доверяют веб-разработчики, которые решают поставленную задачу удобным для них способом. Решение подкупает именно этим удобством, именно поэтому оно взлетит. А ограничения запуска скриптов с неоправданно высокими привелегиями после этого уже будет вопросом времени, как это было с блокировкой рекламы и введением Tracking Protection.
>>852
Без js фреймы можно грузить через <a target>, например.


Anonymous 09/30/2018 (Sun) 18:50:30 [Preview] No.861 del
>>857
>Это можно сделать тысячей различных способов в javascript.
Задача от него отказаться.
>Я не понимаю, как это можно сделать без выполнения кода, если с сервера загружается не просто html, а json.
Во-первых нинужна, во-вторых можно сделать шаблоны.
>Нет
Ну ты бы пример что ли привёл, какая полезная распространённая фича отвалится.
>Браузер будет загружать из кеша весь неизмененный контент.
Придётся делать кучу ифреймов для каждой мелочи,
>Тебе нужно загружать дополнительный контент при желании юзера. Всё, что нужно менять, пихать в отдельные ифреймы.
при этом из одного ифрейма нельзя менять другой. И без отказа от жс оно не имеет смысла.


Anonymous 09/30/2018 (Sun) 18:57:02 [Preview] No.862 del
>>860
>Решение подкупает именно этим удобством
Я не понял, каким образом это будет удобнее для разработчиков.
>как это было с блокировкой рекламы
Которой пользуется менее половины пользователей лисы и хуй знает, сколько хрома, думаю заметно меньше.
>введением Tracking Protection
Что и куда было введено?
>Без js фреймы можно грузить через <a target>, например
урл не обновить, история отвалится


Anonymous 09/30/2018 (Sun) 19:05:48 [Preview] No.863 del
>>856
>Потому что ты говноед, загружающий скрипты с серверов корпораций.
Нет, я только примерил на себя образ тех, кто это делает.
>Им плевать. Любому грамотному человеку изначально понятно, что архитектура NPM с загрузкой и автообновлением модулей от мимокрокодилов - небезопасное говно. Но они продолжают ей пользоваться даже после недавнего протроянивания npm-модуля.

А что они, по-твоему, должны были сделать? Пока не будет нормальной альтернативы, они будут пользоваться тем что есть.

>>857
>Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
>Для юзеров разобраться в каких-то простых вещах сложно, а во всех API javascript будет весьма проблемно
А им и не нужно будет ни в чем разбираться. Сначала какой-нибудь васян сделает расширение, по дефолту блокирующее опасные сочетания привелегий. Потом эту функцию встроят в адблокеры. Потом в браузеры.


Anonymous 09/30/2018 (Sun) 19:14:53 [Preview] No.864 del
>>863
>А что они, по-твоему, должны были сделать? Пока не будет нормальной альтернативы, они будут пользоваться тем что есть.
Хотя бы скачивать себе и обновлять вручную
>Сначала какой-нибудь васян сделает расширение, по дефолту блокирующее опасные сочетания привелегий. Потом эту функцию встроят в адблокеры. Потом в браузеры.
Уже сегодня подобные вещи есть и ломают сайты. Причём большинство даже не заворачивается в try catch и ломается полностью+есть единицы, которые показывают заглушку "без этой фичи сайт не работает, включите или идите нахуй".


Anonymous 09/30/2018 (Sun) 19:15:41 [Preview] No.865 del
>>858
Удваиваю запрос
>>862
>Я не понял, каким образом это будет удобнее для разработчиков.
Скриптам можно будет задать разные Global Environment, чтобы их области видимости не пересекались.
Контроль внешних скриптов. Даже если их кто-то протроянит, при правильной настройке привелегий ничего не произойдет.
Раздельное использование API и привелегий. Каждый скрипт может выполнять только свою задачу. И даже не заглядывая внутрь скрипта, по его объявлению в HTML будет понятно, для чего он используется.
Может быть что-то ещё, о чем я забыл.
>Что и куда было введено?
Tracking Protection list в Firefox. В русской локали это список блокировки.
>Которой пользуется менее половины пользователей лисы и хуй знает, сколько хрома, думаю заметно меньше.
Что ты хочешь этим доказать? Что не надо было создавать адблокеры?


Anonymous 09/30/2018 (Sun) 19:25:04 [Preview] No.866 del
>>864
>Уже сегодня подобные вещи есть и ломают сайты.
Они ломают сайты, потому что не могут заранее определить, используется канвас (или другая фишка) для фингерпринта, или же для чего-то другого. А по заданным привелегиям это можно определить еще до выполнения скрипта.


Anonymous 09/30/2018 (Sun) 19:30:44 [Preview] No.867 del
>>857
>Вы не тем занимаетесь, у нас тут из javascript утекает реальная ОС в тор браузере, а вы думаете как использовать сайты со скриптами без скриптов.
Ставишь любой user agent spoofer с проверенным лично тобой кодом, отключаешь обновления расширений и используешь. Или тебе надо на разработчиков надавить?


Anonymous 09/30/2018 (Sun) 19:33:47 [Preview] No.868 del
Думаю, хорошим решением было бы отказаться от удаленной загрузки произвольных скриптов, так чтобы юзер загружал их в репозиторий браузера так же, как десктопный софт.


Anonymous 09/30/2018 (Sun) 19:35:37 [Preview] No.869 del
>>868
На эту проблему у меня тоже есть решение, но без >>824 оно может не взлететь.


Anonymous 09/30/2018 (Sun) 19:40:20 [Preview] No.870 del
>>857
>Идея про привелегии для кода в браузере хороша. Я и сам над ней задумывался. Но кто будет это реализовывать?
Если это решение можно хотя бы частично реализовать через расширения, то я попробую это сделать. Но это не отменяет необходимости искать другие пути.


Anonymous 09/30/2018 (Sun) 19:41:41 [Preview] No.871 del
>>867
Ты уже поставил? Какой у тебя юзерагент?


Anonymous 09/30/2018 (Sun) 19:46:53 [Preview] No.873 del
>>867
Спуфать UA должны все. Особенно если учесть, что разработчики TB поставляют разные шрифты для разных платформ.


Anonymous 09/30/2018 (Sun) 19:59:03 [Preview] No.874 del
>>873
Так что ты предлагаешь?


Anonymous 09/30/2018 (Sun) 20:01:28 [Preview] No.875 del
>>874
Давить на разработчиков в багтрекере, иных путей нет. Или полностью отказываться от JS в торбраузере.


Anonymous 09/30/2018 (Sun) 20:05:09 [Preview] No.876 del
>>865
>Скриптам можно будет задать разные Global Environment, чтобы их области видимости не пересекались.
Зачем? к тому же модули уже вроде есть.
>Контроль внешних скриптов. Даже если их кто-то протроянит, при правильной настройке привелегий ничего не произойдет.
Если бы это кого-то ебало, они бы не использовали внешние скрипты. К тому же их содержимое используется из своих скриптов, вынесение в отдельный контекст лишает их смысла, к тому же доступ у них к одному dom, в котором обычно вся полезная инфа есть.
>Раздельное использование API и привелегий. Каждый скрипт может выполнять только свою задачу. И даже не заглядывая внутрь скрипта, по его объявлению в HTML будет понятно, для чего он используется.
С библиотеками типа jquery это не прокатит, т.к. через неё идут почти все операции. Для каких-то отдельных фич смысл наверно есть, но я не верю, что кого-то из разработчиков это ебёт достаточно, чтобы тратить на это время, даже если им готовый стандарт, поддерживаемый браузерами дать.
>Tracking Protection list в Firefox
>в Firefox
>отключен по-дефолту
>ломает сайты, в чём разумеется винят мозиллу(что в общем-то правильно с их подходом)
>Что ты хочешь этим доказать? Что не надо было создавать адблокеры?
Что это не влияет на разрабов, максимум напишут просьбу отключить адблок для поддержки сайта/скажут, что с ним оный может отображаться некорректно, если что - идите нахуй. Я так недавно пошёл, когда интернет-магазин без яндекс метрики тупо не работал.


Anonymous 09/30/2018 (Sun) 20:06:54 [Preview] No.877 del
>>866
>А по заданным привелегиям это можно определить еще до выполнения скрипта.
Что-то мне это неочевидно. Часть скриптов конечно отрежет, но ничто не помешает желающим начать использовать канвас для логотипа и вкрутить в тот же скрипт слежку.


Anonymous 09/30/2018 (Sun) 20:10:43 [Preview] No.878 del
>>868
Мне кажется было бы более реалистично начать с ит сайтов и декларирующих уважение приватности пользователей, если будет рабочая версия, будет проще убедить их владельцев написать к ней клиент, а к чему-то клиенты смогут писать сами пользователи.


Anonymous 09/30/2018 (Sun) 20:11:04 [Preview] No.879 del
>>863
Так-то оно так. Только этот васян может никогда не появиться.
>>868
Прямо сейчас возьмешь и изменишь структуру веба?
>>870
Жду ссылку здесь на AMO через 1-2 месяца.
Ты серьезно будешь что-то писать?

>>861
>Во-первых нинужна, во-вторых можно сделать шаблоны.
Вместо шаблона будет проще прочитать код.
>Ну ты бы пример что ли привёл
>если с сервера загружается не просто html, а json

>Придётся делать кучу ифреймов для каждой мелочи
>при этом из одного ифрейма нельзя менять другой
Именно так. Либо перезагружать всю страницу. Но благодаря этому пользователь будет полностью контролировать загрузку страницы.
>И без отказа от жс оно не имеет смысла
Это имеет смысл, если у пользователя отключен жс


Anonymous 09/30/2018 (Sun) 20:12:55 [Preview] No.880 del
>>870
У вебэкстеншенов с этим плохо - они работают по принципу блокировки и могут внезапно отвалиться. Надо чтобы они наоборот разрешали отключенное по-дефолту, что без изменения браузера невозможно.


Anonymous 09/30/2018 (Sun) 20:24:13 [Preview] No.881 del
>>879
>Вместо шаблона будет проще прочитать код.
Что? Шаблон не исполняемый, пользователю его не надо читать, вообще не понял это сравнение.
>>Ну ты бы пример что ли привёл
>>если с сервера загружается не просто html, а json
Мой вариант подразумевает изменения на сервере если что. Отвалятся же только относительно сложные клиентские фичи вроде кастомных аудио/видео плееров, поиска без запросов на сервер и прочее, что нинужно и как правило отсутствует на многих сайтах - форумах, блогах, вики и т.д.
>Но благодаря этому пользователь будет полностью контролировать загрузку страницы.
Это не единственный вариант, для тех, кого это волнует можно сделать политики чтобы запросы были только по клику и при наведении будет показываться адрес как для ссылок.
>Это имеет смысл, если у пользователя отключен жс
Я как бы отвечал на
>По онклику загружай контент в ифрейм,
Вообще стоит разделять попытки ограничить существующее и переписывание сайтов. Если владелец заинтересован, то нет необходимости ограничиваться существующими технологиями, которые не расчитаны на отключеный жс.


Anonymous 10/01/2018 (Mon) 15:11:42 [Preview] No.885 del
>>876
>Если бы это кого-то ебало, они бы не использовали внешние скрипты.
Ты не прав. Плюнь в любую сторону и обязательно попадешь во что-нибудь, что многие очень хотят поменять, но не меняют.
>>877
У тебя есть скрипт с доступом к канвасу, шрифтам и svg, без возможности послать запрос в сеть или записать что-то в DOM. Как ты собрался вкручивать в него слежку?


Anonymous 10/01/2018 (Mon) 16:22:24 [Preview] No.886 del
>>885
Это какой-то уникальный скрипт, такой может быть нужен разве что ради пэинта в браузере. У меня конечно нет статистики, но канвасы вроде обычно используют для игр и другого динамически подгружаемого контента, где удобства такое точно не добавит, незаинтересованные разрабы не будут выносить отрисовку в отдельный скрипт, так что ломать оно будет как фингерпринты, так и обычный функционал.
>Ты не прав. Плюнь в любую сторону и обязательно попадешь во что-нибудь, что многие очень хотят поменять, но не меняют.
Это ничего не меняет. Хотят-не хотят, делают как проще, учить что-то новое без необходимости мало кто будет, тут интересы только пользователей, которые их приблизительно никак не отстаивают.


Anonymous 10/01/2018 (Mon) 18:28:04 [Preview] No.888 del
>>867
>Ставишь любой user agent spoofer
А любой умеет выдавать для HTTP
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0
а для js
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0
как сейчас делает TB под виндой?


Anonymous 10/01/2018 (Mon) 18:39:37 [Preview] No.889 del
>>886
>незаинтересованные разрабы не будут выносить отрисовку в отдельный скрипт, так что ломать оно будет как фингерпринты
Сейчас 95% разработок делают для сбора персональных данных и показа рекламы. Разрабы заинтересованы, чтобы фингерпринты работали.


Anonymous 10/01/2018 (Mon) 23:36:21 [Preview] No.892 del
А как насчет того чтобы создать окружение и браузер которые спуфят все по максимуму и дают выбор из разных правдоподобных комбинаций фингерпринтов вместо одного захардкоженного господином разработчиком? Тот же фингерпринтинг тор браузера фиксится настройкой оконного менеджера на другую ширину скроллбара схожую с шиндошс.

Есть такой васянский браузер Linken Sphere который даже на ксакепе прорекламировали. Если убрать его очевидную ханипотность и проприетарную натуру, но техники которыми он подменяет фигнерпринты вполне известны и хорошо работают, обычно в виде браузерных плагинов и виртуальных машин. Пока javascript запрещает меньшинство, таким образом не скрыться, а то и просто невозможно пользоваться сайтами.


Anonymous 10/02/2018 (Tue) 02:44:51 [Preview] No.894 del
!


Anonymous 10/02/2018 (Tue) 03:37:46 [Preview] No.895 del
>>885
>Как ты собрался вкручивать в него слежку?
Получаю рута через какой-нибудь очередной мелтдаун, будь ты хоть в 10 виртуалках, сливаю ключи от твоих разделов и ставлю следящего за тобой трояна.


Anonymous 10/02/2018 (Tue) 18:29:01 [Preview] No.898 del
>>889
Поэтому и ориентироваться на них нет смысла. Если число пользователей препятствующих слежке аддонов/настроек будет расти, то они станут намерено писать ломающиеся сайты.


Anonymous 10/02/2018 (Tue) 19:23:57 [Preview] No.899 del
>>898
Запретят твои аддоны как adnauseam.


Anonymous 10/03/2018 (Wed) 07:37:25 [Preview] No.900 del
Значительная проблема заключается в клаудфларе, а в частности её гуглокапче. Гуглокапча вообще самое уебанское изобретение за всю историю человечества, поэтому логично что с ней хочется сталкиваться как можно реже. Раньше можно было поставить правильный юзерагент Mozilla/5.0 (Windows NT 6.1; rv:52.0) Gecko/20100101 Firefox/52.0 и на доброй половине сайтов требование капчи отпадало. Сегодня попытался обновиться до восьмой версии. Одна из причин, почему попытка не завершилась успехом - именно клаудфлара. Даже с подмененным как положено юзерагентом все равно выдавало ебучее Please complete the security check to access site.com.

Как с этой хуйнёй бороться, господа? У кого-нибудь вышло на квантуме справиться с клаудфларой? На firefox esr результат был такой же как и на торобраузере.


Anonymous 10/03/2018 (Wed) 09:09:19 [Preview] No.901 del
>>895
Сижу с проца амд, обновляют ядро прямо из гита и хули ты мне сделаешь, чепуш?


Anonymous 10/03/2018 (Wed) 09:11:00 [Preview] No.902 del
>>899
Кстати поясните за него. Какие подводные использовать его при браузинге клирнета? Пидорашьи провайдеры всё ещё предоставляют "платные сайты" или нет?


Anonymous 10/03/2018 (Wed) 09:46:23 [Preview] No.903 del
>>900
Отключи TLS 1.3 и блядофляра будет тревожит только там, где пидорахи-админы сами включили анальную проверку тора.

security.tls.version.max=3

все похоже на то, что блядофляра попросту демонстрирует нам силу, якобы "забыв" внести новый конфиг торбраузера в белый список, как теперь она без задней мысли может забанить для рассово неправильных айпишников полинтернета


Anonymous 10/03/2018 (Wed) 09:49:26 [Preview] No.904 del
>>901
Дыры находят раньше, чем выпускают патчи - по определению. Стало быть, любая популярная платформа уязвима постоянно.


Anonymous 10/03/2018 (Wed) 10:45:19 [Preview] No.905 del
>>904
Любая платформа уязвима когда обнаружена уязвимость и ещё не накачен пач.


Anonymous 10/03/2018 (Wed) 14:26:08 [Preview] No.906 del
>>903
>Отключи TLS 1.3 и блядофляра будет тревожит только там, где пидорахи-админы сами включили анальную проверку тора.
>security.tls.version.max=3

Благодарю, чуть позже потестирую. Но есть еще две проблемы, тормозящие мой апдейт. Может еще скажешь, как нормально сменить юзерагент, ибо general.useragent.override не работает как должен, а мокрописьки и лишние васяноплагины это не наш метод. Вторая проблема заключается в том, что у носкрипта слетают настройки в положение "всё разрешено" и решения я почему-то не нашел.

>все похоже на то, что блядофляра попросту демонстрирует нам силу, якобы "забыв" внести новый конфиг торбраузера в белый список, как теперь она без задней мысли может забанить для рассово неправильных айпишников полинтернета

Стоит попробовать написать на форум или багтрекер или что там еще у них есть.


Anonymous 10/03/2018 (Wed) 16:40:08 [Preview] No.907 del
>>906
>Может еще скажешь, как нормально сменить юзерагент
А никак, лол. Нет, правда, подумай хорошо сам, почему менять UA какими-либо методами чисто для себя - да хоть патчингом сорцов - плохая идея.

general.xxx.override будет работать, только если отключишь resistFingerprinting со всеми вытекающими типа необходимости затыкать протекающий канвас.

>>905
Есть мнение, что уязвимости обнаруживаются задолго до того, как становится публично известными. И не всегда - хорошими парнями.


Anonymous 10/03/2018 (Wed) 16:52:25 [Preview] No.908 del
>>906
>Вторая проблема заключается в том, что у носкрипта слетают настройки в положение "всё разрешено" и решения я почему-то не нашел.
Вебекстеншн хуита не имеет ничего общего с ламповым XUL носкриптом. Лучей говна разработчикам TB, не заменившим это ебаное глюкалово на мюматрикс.

В общем, хуй знает как с этим жить (ютаб так и не завелся, например) и не опасно ли с т.з. фингерпринтинга поменять эту парашу на матрицу.


Anonymous 10/03/2018 (Wed) 19:28:18 [Preview] No.924 del
>>903
>security.tls.version.max=3
Фингерпринт


Anonymous 10/03/2018 (Wed) 19:34:25 [Preview] No.925 del
Они так торопились выложить 8.0.2, что поломали reproducible build.
>While preparing the 8.0.2 release we encountered intermittent reproducibility failures for Linux (64bit) bundles.
https://blog.torproject.org/new-release-tor-browser-802

>While rushing to the 8.0.2 security release we found a problem with reproducing Linux (64bit) bundles. The failure is intermittently, though, but it is still concerning.

>It's not clear yet what is causing this problem. The current theory is one of the security patches although this does not make much sense yet.
https://trac.torproject.org/projects/tor/ticket/27937


Anonymous 10/03/2018 (Wed) 19:57:35 [Preview] No.926 del
>>924
Ну да.


Anonymous 10/03/2018 (Wed) 21:28:21 [Preview] No.935 del
>>925
Видимо террориста ищут, вставили бэкдор на время.


Anonymous 10/04/2018 (Thu) 00:36:19 [Preview] No.937 del
>>935
Ох, ну ладно, а то я уж испугался. Надеюсь, его взгреют там хорошенько, чтоб не портил больше жизнь нормальным людям! Мы из-за этого террориста без повторябельных сборок остались, скажите ему спасибо.


Anonymous 10/04/2018 (Thu) 06:17:39 [Preview] No.941 del
>>907
>А никак, лол. Нет, правда, подумай хорошо сам, почему менять UA какими-либо методами чисто для себя - да хоть патчингом сорцов - плохая идея.
Фингерпринт, кококо, фингерпринт. Да знаю я про ваш фингерпринт. Впрочем, security.tls.version.max=3 уже дает возможность обходить клаудфлару, так что ебля со сменой юзерагента становится сомнительной необходимостью. С другой стороны, срущий жаваскрипт с глючным носкриптом сводит весь смысл вашей хвалёной защиты от фингерпринтинга к нулю.

В общем, лично я пока что предпочту остаться на седьмой версии, параллельно присматривая вариант для съеба.


Anonymous 10/04/2018 (Thu) 23:39:13 [Preview] No.954 del
>>941
>кококо
Вам на двач.


Anonymous 10/04/2018 (Thu) 23:47:58 [Preview] No.955 del
>>941
>кококо
Вам на двач.
>>824
>Фронт-енд разработчики за ним в очередь выстроятся, скушают и попросят ещё.
Им-то это зачем? Работа фронтенд-пидорасни направлена на быдло и только на быдло, поэтому и существуют тонны всякой ссанины типа реактов, ангуляров, вуеджсов и т.д. - быдлу не интересно ходить по страничкам, быдлу нужно чтоб всё блестело моргало и прыгало, а на каких-то там полутора анониздов всем посрать, да и просто на любителей чистого браузинга (когда тыкаешь на ссылку @ прочитал статью/посты @ опционально ответил @ всё) тоже посрать, ведь они как и анонизды денег не приносят.
Идеальный пользователь веба - он без адблока сидит, с включенными скриптами, ставит все предлагаемые приложения (недавно оказалось, что даже у imgur есть приложение, это же блять просто хостинг картинок, а без приложения он мобиле не выдаст картинку в оригинальном расширении), а ну и в идеале туп достаточно чтобы тыкать на рекламу.


Anonymous 10/05/2018 (Fri) 02:33:26 [Preview] No.957 del
>>955
>это же блять просто хостинг картинок
Это почти Сосач, вроде как.

>туп достаточно чтобы тыкать на рекламу
Реклама работает, даже если её не тыкать. На щиты в городе ты ведь не тыкаешь обычно?

Вообще у отказа от Джаваскрипта есть недостаток: если твои данные не будут обрабатываться на клиенте, им придётся обрабатываться на сервере. Все эти вуи, реакты и так далее - оно нужно, чтобы экономить серверные ресурсы, перенося часть работы на клиент.


Anonymous 10/05/2018 (Fri) 16:17:05 [Preview] No.970 del
>>824
В W3C уже занимаются разработкой стандарта, который позволит вводить ограничения доступа к Web API. Пока что планируется сделать возможность устанавливать привелегии для browsing context, но как я понял, в будущем это хотят распространить и на scripting context.


Anonymous 10/05/2018 (Fri) 18:46:12 [Preview] No.971 del
>>957
>экономить серверные ресурсы, перенося часть работы на клиент.
Забота об экономии серверных ресурсов не мешает им тащить всю информацию клиента в облако для обработки. А вот формировать вебстраницу на сервере - они не хотят. Отдают браузеру шаблон и подгружают json, чтобы тормозящий браузер сам формировал вебстраницу.


Anonymous 10/05/2018 (Fri) 19:02:37 [Preview] No.972 del
>>955
>даже у imgur есть приложение, это же блять просто хостинг картинок, а без приложения он мобиле не выдаст картинку в оригинальном расширении
Интересная тенденция - на десктопе функционал приложений тянут в браузер, чтобы привязать пользователя к сайту и заставить его поделиться информацией, с которой он работает. Ради этого в браузер добавляют canvas, webgl и прочее не нужное на 99% сайтов. Торбраузер выдает операционную систему, чтобы Google Doc работал в торбраузере на mac. А на смартфонах функционал простого вебсайта заворачивают в отдельное приложение, которое тащит на свой сервер всю информацию, которую может собрать.


Anonymous 10/05/2018 (Fri) 22:27:20 [Preview] No.979 del
>>957
>
Вообще у отказа от Джаваскрипта есть недостаток: если твои данные не будут обрабатываться на клиенте, им придётся обрабатываться на сервере. Все эти вуи, реакты и так далее - оно нужно, чтобы экономить серверные ресурсы, перенося часть работы на клиент.
1. Результату полученному на клиентской машине нельзя доверять, хотя бывает что и не нужно
2. >>971


Anonymous 10/07/2018 (Sun) 12:14:12 [Preview] No.1030 del
Все, к чему прикоснется Microsoft, превращается в говно. Винду превратили в говно, скайп почти убили.
Теперь и до Github добрались. Превратили процесс регистрации из-под тор браузера в бесконечное издевательство. Суки, поставили обновление страницы вместо продолжения регистрации.
Блять, как мне быть-то теперь? Я зарегистрироватья хотел. Аноны, помогите.


Anonymous 10/07/2018 (Sun) 12:36:13 [Preview] No.1033 del
>>1030
Корпорация-говномидас.


Anonymous 10/07/2018 (Sun) 13:14:04 [Preview] No.1035 del
По возможности не пользоваться и агитировать разрабов валить, а так попробуй после тора обычную проксю надеть.


Anonymous 10/07/2018 (Sun) 17:21:30 [Preview] No.1037 del
>>1035
>а так попробуй после тора обычную проксю надеть.
Еще бы знать, как ее нацепить, не сломав управление цепочками и изоляцию вкладок в торбраузере.


Anonymous 10/07/2018 (Sun) 19:28:43 [Preview] No.1040 del
>>1030
>Все, к чему прикоснется Microsoft, превращается в говно.
Любая централизованная параша превращается в говно. Программисты как мухи слетелись на сервера коммерческой фирмы, а теперь удивляются, что их продали другой фирме.

>Превратили процесс регистрации из-под тор браузера в бесконечное издевательство.
Не переживай. Разработчики тор браузера еще немного пожертвуют приватностью всех пользователей, чтобы можно было зарегистрироваться на гитхабе.

>Блять, как мне быть-то теперь? Я зарегистрироватья хотел.
<Гитхаб - говно! Как мне там зарегистрироваться?


Anonymous 10/07/2018 (Sun) 19:32:13 [Preview] No.1041 del
>>1040
Не всегда возможно отказаться от использования сервисов, целенаправленно борящихся со средствами анонимизации. Схемы безопасной работы с ними тоже нужно прорабатывать.


Anonymous 10/07/2018 (Sun) 19:35:02 [Preview] No.1042 del
Кстати, интересно - а что мешало реализовать в торе непубличные выходные узлы на манер входных бриджей, которые успешно обходят даже ВКФ? Гугл и блядофляра не одобрямс?


Anonymous 10/07/2018 (Sun) 20:27:28 [Preview] No.1043 del
>>1042
>непубличные выходные узлы
У операторов публичных выходные узлов бывают проблемы с полицией демократических государств. Оператору непубличного узла придется регулярно доказывать, что это не он взламывал банк, скачивал детское порно и угрожал взорвать Белый дом.


Anonymous 10/07/2018 (Sun) 20:32:02 [Preview] No.1044 del
>>1041
>Не всегда возможно отказаться от использования сервисов
Если ценность и популярность сервиса основана на количестве его пользователей, то используя такой сервис ты повышаешь его ценность и популярность.


Anonymous 10/07/2018 (Sun) 22:31:41 [Preview] No.1048 del
>>1043
Если одна из задач разработчиков тора - борьба с его цензурой, то нужно работать над способами сокрытия факта его использования не только от ISP, но и от конечных хостов. А они напротив, помогают сайтам детектить торбраузер и пишут гайды для админов, как блочить эксит-ноды.

>>1044
В реальном мире людям обычно нужно зарабатывать деньги, покупать товары и услуги, писать багрепорты на жизненно необходимый софт, общаться с множеством людей по разным каналам. Я не считаю, что ограничивать практическое применение КА/ИБ мелкобордами для кучки параноиков - хорошая идея.


Anonymous 10/07/2018 (Sun) 22:33:23 [Preview] No.1049 del
>используя такой сервис ты повышаешь его ценность и популярность
Я - не статистически значимая единица. Есть глобальные социальные тренды, которые формируют статистику таких сервисов и повлиять на них своим личным отказом от них я не могу.


Anonymous 10/08/2018 (Mon) 00:58:11 [Preview] No.1050 del
>>908
>2k18
>ютаб в браузере


Anonymous 10/08/2018 (Mon) 01:01:54 [Preview] No.1051 del
>>1048
>работать над способами сокрытия факта его использования не только от ISP, но и от конечных хостов.
Ну а как ты это сделаешь? Непубличные операторы еще больше подвержены бутылке, как мы выяснили.


Anonymous 10/08/2018 (Mon) 01:20:54 [Preview] No.1052 del
>>1051
Купить анонимно впс или дедик не так уж и сложно. В крайнем случае его прикроют и все. Окей, пусть непубличные экситы будут короткоживущие, как сейчас ломаные соксы - люди, готовые их поддерживать все равно найдутся.

А иначе завтра решит блядофляра заблокировать тор - и прощай полинтернетов.


Anonymous 10/08/2018 (Mon) 02:20:12 [Preview] No.1053 del
>>1052
Ну так и зачем они нужны если есть ломанные соксы?


Anonymous 10/08/2018 (Mon) 02:54:29 [Preview] No.1054 del
>>1053
Нет нормального способа прикрепить сокс на выход, не потеряв в функциональности - скажем, способов вешать отдельный сокс после тора на каждую вкладку просто нет. Редиректоры типа proxychains не очень надежны, а виртуалка - геморрой и оверхед. Владельцу сокса виден траффик и хосты (да, на эксите тоже, но зачем еще одни уши?) Частая смена соксов затруднена, что повышает риск корелляции траффика, а пользуясь одним прокси-листом от васяна нельзя быть уверенным, что даже при частой ротации их не свяжут.


Anonymous 10/08/2018 (Mon) 04:29:12 [Preview] No.1055 del
>>1054
Если экситы будут не публичными, то частая смена же тоже будет затруднена, разве нет?
>пользуясь одним прокси-листом от васяна нельзя быть уверенным, что даже при частой ротации их не свяжут.
Ну хрен знает, эксит ноды же ты узнаешь тоже от одной сущности, от торпрожекта.


Anonymous 10/10/2018 (Wed) 18:53:48 [Preview] No.1061 del
Мне пиздецки срочно нужно зарегистрироваться на гитхабе, при этом оставаясь за тором. Но эта ссанина водит меня по кругу. Помогите.


Anonymous 10/10/2018 (Wed) 22:30:46 [Preview] No.1063 del
>>1061
отключи тор в торбраузере
запусти торбраузер через торсокс или проксичейнз с одним тором в цепочке
в настройках прокси браузера укажи хттп/сокс проксю из нагугленного листа

впрочем, гугл моментально детектит публичные прокси, так что не факт что это поможет в случае с майками. тогда только покупать впн и пускать через whonix - гайды найдешь в их вики

тор отключается так (алсо, полезно для серфинга через торбраузер по ш2з):
user_pref("extensions.torbutton.use_nontor_proxy",true);
user_pref("extensions.torlauncher.prompt_at_startup",false);
user_pref("extensions.torlauncher.start_tor",false);


Anonymous 10/11/2018 (Thu) 14:23:51 [Preview] No.1069 del
FSF как-то коментирует ситуацию с гитхабом?


Anonymous 10/11/2018 (Thu) 15:27:27 [Preview] No.1070 del
>>1063
Отключать тор нельзя. И проблема не в нем, а в какой-то фиче, которая в тор браузере по умолчанию отключена. Если бы они банили торовские хосты, то так бы и писали.


Anonymous 10/11/2018 (Thu) 15:30:40 [Preview] No.1071 del
>>1063
Отключать тор нельзя. И проблема не в нем, а в какой-то фиче, которая в тор браузере по умолчанию отключена. Если бы они банили торовские хосты, то так бы и писали.


Anonymous 10/11/2018 (Thu) 15:53:39 [Preview] No.1072 del
>>1071
Какая именно фича отключается этими префами?

use_nontor_proxy отключает изоляцию цепочек на вкладках. Но какая разница, если прокся на конце одна и та же?

start_tor=false отключает запуск тора, поставляемого вместе с браузером. Если в системе стоит торовский демон, то запускать отдельный тор для браузера не нужно и даже вредно - позволяет провайдеру профилировать сессии, отличая запущенные экземпляры тора по разным гардам/бриджам.


Anonymous 10/11/2018 (Thu) 16:03:38 [Preview] No.1073 del
>>1071
А, все, понял. Мы не выключаем тор, а используем для торификации вместо средств браузера редиректор (torsocks, proxychains), чтобы средствами браузера можно было выставить сокс/хттп проксю после тора.

>а в какой-то фиче, которая в тор браузере по умолчанию отключена
Накатывай хуникс, поставь в нем хромиум. Зарегался - виртуалку уничтожил, дальше работаешь через нормальный браузер.


Anonymous 10/11/2018 (Thu) 18:41:05 [Preview] No.1074 del
Когда-то давно была возможность отличать хром от лисы по порядку HTTP заголовков. Сейчас это уже починили?


Anonymous 10/13/2018 (Sat) 17:28:29 [Preview] No.1090 del
>>1073
Причину я выявил. При каждом заходе на страницу сервер зачем-то меняет идентификатор сессии, который хранится в куках. Браузер их не затирает до закрытия, цепочки узлов тора не меняются.


Anonymous 10/13/2018 (Sat) 17:30:32 [Preview] No.1091 del
Почему в новом торе написано, что нельзя менять guard узел, хотя по факту он все равно меняется?


Anonymous 10/13/2018 (Sat) 20:38:17 [Preview] No.1095 del
>>1048
>А они напротив, помогают сайтам детектить торбраузер и пишут гайды для админов, как блочить эксит-ноды.
Их официальная политика: каждый имеет право подключаться к тор и обходить цензуру провайдера, но владельцы сайта имеют право заблокировать или ограничить доступ из тор. Это разумно и отбивает аргументы, что через тор злые хакеры поломают мой блог и украдут деньги со счета в банке и его надо запретить. Боитесь, что анонимы навредят вам, спрятавшись за торбраузером - блокируйте тор и не бойтесь.

>>1052
>А иначе завтра решит блядофляра заблокировать тор - и прощай полинтернетов.
Блядлофлара блокирует любой ip из черного списка и делает исключение для тор. С непубличной exit-ноды начнут срать школьники - она попадет в черный список.


Anonymous 10/13/2018 (Sat) 20:42:19 [Preview] No.1096 del
>>1049
>повлиять на них своим личным отказом от них я не могу.
А теперь представь, что множество людей думает также как ты и все сидят на гитхабе из-за других, потому что думают, что все остальные не хотят отказываться от гитхаба.


Anonymous 10/14/2018 (Sun) 09:24:17 [Preview] No.1100 del
>>1096
Один голос ничего не значит.


Anonymous 10/14/2018 (Sun) 18:49:13 [Preview] No.1102 del
>>1096
Это завист от разрабов. У пользователей как правило нет выбора, куда репортить баг.


Anonymous 10/14/2018 (Sun) 19:44:57 [Preview] No.1104 del
>>1096
От того, что я перестану так думать, мнение масс хомячков магическим образом не изменится.


Anonymous 10/14/2018 (Sun) 19:57:41 [Preview] No.1105 del
>>1104
А почему ты думаешь, что все остальные являются массами хомячков и только ты не хочешь пользоваться гитхабом? Чем ты отличаешься от масс хомячков, если как они создаешь там аккаунт и становишься еще одним хомячком гитхаба?


Anonymous 10/14/2018 (Sun) 20:04:03 [Preview] No.1106 del
>>1100
Проголосуешь за Путина за 500 рублей?


Anonymous 10/14/2018 (Sun) 20:57:21 [Preview] No.1109 del
>>1105
Один хомячок - не субъект, задающий социальный тренд. Субъект - хомячиная масса, её коллективное волеизъявление. И управляется это волеизъявление не личным решением одного или даже сотни хомячков, а пропагандой, направленной на миллионы. Ну, ты и сам понимаешь, что ничего не изменишь, даже если убедишь всю аудиторию эндача не пользоваться гитхабом, вместо того, чтобы вырабатывать навыки работы во враждебной среде. Аудитория пострадает, а гитхаб - нет.


Anonymous 10/15/2018 (Mon) 18:51:11 [Preview] No.1113 del
https://youtube.com/watch?v=sxo33gsDenA [Embed]
GNU Free Document License — это свободная лицензия первоначально разработанная для документов с мануалами для программного обеспечения. Начиная с 15-го октября 2018 года её решили запретить на проекте Викисклад. В этом видео я описываю лицензию и причину данного решения. ЛИЦЕНЗИЯ В отличие от моих прочих видео, я принял решение, что было-бы хорошо распространять это не только под моей стандартной лицензией CC-BY, но также под лицензией GNU FDL 1.3. Вы можете выбрать лицензию на ваш выбор.


Anonymous 10/17/2018 (Wed) 15:36:30 [Preview] No.1123 del
Требуются добровольцы в решении проблемы раскрытия реальной ОС через User-Agent.
От вас нужно умение сносно писать по-английски. Понадобится аккаунт аккаунт в любой социальной сети или UGC площадке с высокой посещаемостью.

Нужно привлечь внимание к проблеме и неадекватному отношению к ней со стороны разработчиков. Сначала составляем текст на русском, потом переводим на английский и запускаем в распространение.


Anonymous 10/17/2018 (Wed) 15:43:30 [Preview] No.1124 del
>>1123
Ты Володя?


Anonymous 10/17/2018 (Wed) 15:53:38 [Preview] No.1125 del
>>1124
Какой еще Володя?


Anonymous 10/17/2018 (Wed) 20:36:12 [Preview] No.1126 del
Блять, это какой-то полный пиздец.
Чтобы опубликовать расширение на AMO, надо пройти гуглокапчу. НО ОНА, СУКА, НЕ РАБОТАЕТ. Зеленая отметка на чекбоксе показывается, но после клика на Submit, пишет что КАПЧА РЕШЕНА НЕВЕРНО.

А настоящий пиздец начинается дальше, потому что СООБЩИТЬ ОБ ЭТОЙ ОШИБКЕ НЕВОЗМОЖНО. Либо гитхаб, на который с тор браузера не попадешь, либо на https://discourse.mozilla.org/c/add-ons , на который без 2FA токена вообще хер зайдешь.

Такого беспредела себе даже Гугл не позволяет. Пиздец, я горю.


Anonymous 10/18/2018 (Thu) 00:32:42 [Preview] No.1127 del
>>1126
А может гугл не задумывается о тороюзерах, как и мозила, просто так получилось что мозилин слегка другой стек говнотехнологий мешает тору


Anonymous 10/18/2018 (Thu) 00:33:59 [Preview] No.1128 del
>>1113
ну может ты володя?


Anonymous 10/23/2018 (Tue) 23:09:40 [Preview] No.1142 del
>>1125
Володя, ты? Помнишь меня? Я твой одноклассник. Я узнал тебя по твоим шизоидным словам и высерам. А помнишь, как мы всем классом нассали тебе в кружку в третьем классе, на сладкоежке? Ты ещё выпил, облизнулся и попросил добавки. А потом тебя пришёл забирать твой отец, тот самый дворник, который на Вернадского изнасиловал собаку и получил условный срок за то, что украл плавленный сырок в магазине. Он зашёл в класс, все стали смеяться, а ты обосрался под себя от стыда, а потом сказал, что всю жизнь будешь ненавидеть дворников, но в 9м классе, когда ты пошёл на рейд, чтобы их отпиздить, то они пустили тебя по кругу, после чего тебе наложили на анус восемь швов. Как поживаешь, Володя?


Anonymous 10/24/2018 (Wed) 06:26:51 [Preview] No.1143 del
>>1126
> надо пройти гуглокапчу.
> Такого беспредела себе даже Гугл не позволяет.

Сегодня пришлось открыть гуглодоки в тор браузере. Это же ебаный пиздец. Без джс не отображается, а джса там тонны, даже поиск по странице они зачем-то свой сделали, надо ли говорить о том как это всё тормозит? Желаю гуглопидорасам смерти от рака очка пизды.


Anonymous 10/24/2018 (Wed) 20:03:01 [Preview] No.1148 del
>>1143
>ебаный пиздец
Это то, что приходится открывать гуглдоки. Что огромное количество разработчиков СПО использует дерьмо вроде гуглдоков и гитхаба и всем в общем-то похуй.


Anonymous 11/01/2018 (Thu) 17:47:21 [Preview] No.1206 del
>>1143
> надо пройти гуглокапчу.
> Такого беспредела себе даже Гугл не позволяет.
Там проблема была не в самой гуглокапче, а в криворуком способе ее установки на сайте AMO. Сейчас это уже исправили.
>Сегодня пришлось открыть гуглодоки в тор браузере
Там же анальная регистрация через телефон, нахуа оно надо?
Заведи себе фейкомыльце на яндесе, там нахаляву даетя M$ Office Online с хранилищем на ядиске.

>>1148
Тащемта у гитхаба есть опенсорсные альтернативы, которые можно развернуть на своем сервере.


Пиздец Anonymous 11/01/2018 (Thu) 17:52:30 [Preview] No.1207 del
Саботажная команда даже не скрывает своих намерений:

>Mozilla intends to upstream a patch from Tor that will definitively violate the spec. We intend to match Tor's behavior of reporting one system via the HTTP Header no matter what platform the user is on; but report the correct platform in the navigator object in Javascript. This is Tor #26146 and https://gitweb.torproject.org/tor-browser.git/patch/?id=511d1d8

>So we could use this bug to resolve this issue; but it's more likely we will wontfix this in favor of a new bug dealing strictly with the behavior we intend to enable.

https://bugzilla.mozilla.org/show_bug.cgi?id=1499478#c4


Anonymous 11/02/2018 (Fri) 14:20:11 [Preview] No.1210 del
Объясните же, почему вы вдруг считаете Тор безопасным? Все признаки подзалупности на лицо.


Anonymous 11/02/2018 (Fri) 17:37:59 [Preview] No.1212 del
>>1207
>Firstly: We... already do that. We currently report your real OS in RFP Mode.
>Мы не собираемся обосраться, мы уже обосрались


Anonymous 11/03/2018 (Sat) 00:22:38 [Preview] No.1213 del
>>1210
1) Это какие?
2) Других вариантов-то и нет, разве что ш2з, но для клирнета он неоч, да и у него есть признаки подзалупности, по крайней мере у ш2зв.
3) Подзалупность американская, и хоть американские ловцы педофилов с пидорашьими ещё недавно дружили, я читал, всё-таки мне кажется что тором запрягают высшие инстанции и делиться секретами с отсталой парашей третьего мира они не будут.



Top | Return | Catalog | Post a reply