- Регистрация
- 1 Июнь 2014
- Сообщения
- 284
- Реакции
- 263
- Баллы
- 63
Методы анонимности в сети. Часть 2
Cookies
Cookies — это текстовые файлы с какими-либо значениями, хранимые приложением (часто — браузером) для разных задач, например, аутентификации.
Если совсем отключить приём cookies, то на некоторых сайтах могут возникнуть проблемы с авторизацией, но Firefox позволяет принимать cookies и очищать их после своего закрытия. Пункт «Принимать куки со сторонних сайтов» тоже желательно отключить, однако, например, залогинившись на Хабре с отключенным 3rd party куки, мы не получим доступа на habrastorage.org, поэтому я предпочитаю всё же принимать куки с посещенных сайтов.
Более того, Firefox позволяет вести белый и чёрный список сайтов с куки.
Если мы хотим приватности, то при закрытии Firefox, нужно всё очищать. Да, не совсем удобно, но и следов не остаётся.
Обратите внимание на галочку «Flash Cookies», это не дефолтная галочка Firefox, о ней мы поговорим чуть позже, когда затронем LSO или Flash cookies.
Здесь же, в настройках, особое внимание стоит уделить очистке кеша браузера. В статье: "[DLMURL="https://anonym.to?https://habrahabr.ru/post/190488/"]Cookie без куков[/DLMURL]", обосновывается необходимость очистки кеша.
На странице настроек Firefox: about:config, есть параметр: browser.cache.disk.enable, отвечающий за использование дискового кэша. Значение «false», означает, что кеш использоваться вообще не будет. По остальным настройкам browser.cache.disk не заморачивайтесь, после отключения кеша они уже не важны.
А удобная и бесплатная программа, [DLMURL="https://anonym.to?https://www.piriform.com/ccleaner"]CCleaner[/DLMURL], поможет вам вычистить все уже накопленные следы интернет-активности, хранящиеся даже в самых дальних уголках жесткого диска.
Java, Flash, Adobe Reader...
Все эти плагины являются отдельными приложениями, которые запускаются от имени пользователя. Они могут обходить настройки прокси, хранить свои отдельные долгоживущие cookies (Flash — Local Shared Objects) и пр.
Все плагины в идеале должны быть отключены или удалены. Без Java и Adobe Reader в браузере вполне можно прожить, но бывают ситуации, когда Flash всё же приходится включать, иначе сайт попросту не заработает. В таком случае нужно обеспечить регулярное обновление Flash и запрет хранения Local Shared Objects (LSO) или Flash cookies.
Также рекомендуется включать Flash только по запросу. Так вы разрешите запускать именно тот элемент Flash, который действительно сами хотите. Сделать это можно в настройках плагинов (дополнений).
Для запрета хранения LSO специально разработано дополнение к Firefox, [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/betterprivacy/"]Better privacy[/DLMURL]. Я предпочитаю, чтобы галочка об очистке LSO была добавлена в меню Firefox «Стереть историю», как на предыдущем рисунке.
Fingerprint (отпечаток) браузера
Браузер предоставляет серверу десятки категорий данных, в том числе и так называемый [DLMURL="https://anonym.to?https://en.wikipedia.org/wiki/User_agent"]user agent[/DLMURL]. Всё это может сформировать достаточно уникальный «цифровой отпечаток браузера», по которому его можно найти среди многих других уже в анонимном сеансе.
Существует немало дополнений по подмене юзерагента браузера, я привык пользоваться [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/user-agent-overrider/"]User Agent Overrider[/DLMURL]. Дополнение стабильно, удобно, постоянно обновляется, есть в официальных репозиториях Firefox.
Скрипты Javascript
Скрипты Javascript, исполняемые на стороне клиента, могут собирать для сервера множество категорий идентифицирующий данных. Более того, если посещаемый сайт подвержен [DLMURL="https://anonym.to?https://en.wikipedia.org/wiki/Cross-site_scripting"]XSS[/DLMURL], то включенные на нём скрипты Javascript помогут злоумышленнику провести успешную атаку со всеми вытекающими последствиями.
Для того, чтобы запретить данные скрипты лучше всего подходит дополнение [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/noscript/"]NoScript[/DLMURL].
Помимо Javascript дополнение может блокировать еще множество различных элементов: Java, Flash и пр. Пользователь может временно разрешить выполнение всего активного содержимого на странице или сделать это на постоянной основе.
В этом же разделе я опишу еще один аддон, который идёт бок-о-бок с NoScript: [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/requestpolicy/"]RequestPolicy[/DLMURL].
Аддон RequestPolicy нужен для контроля межсайтовых запросов и защиты от [DLMURL="https://anonym.to?https://en.wikipedia.org/wiki/Cross-site_request_forgery"]CSRF[/DLMURL]. Межсайтовые запросы осуществляются, когда вы зашли на один сайт, он запросил уже у другого сайта нужный ресурс, например, картинку, и показал её вам. Подобные механизмы наиболее часто используются в рекламных целях. Отмечу, что таким образом вредоносные сайты могут делать совсем плохие вещи, например, при определённых условиях выполнять несанкционированные действия на третьем сайте с вашими сохранившимися куками. Представьте, чем это может грозить.
Автор RequestPolicy рекомендует использовать его в связке с NoScript, так как каждое дополнение заточено под свои цели, а вместе они позволяют добиться гибкой и всесторонней защиты. На картинке RequestPolicy блокирует картинку с habrastorage.org.
Стоит отметить, что некоторым сайтам совсем не нравится блокировка Javascript и межсайтовых запросов. Должно пройти какое-то время в режиме «обучения», чтобы сформировался доверенный список регулярно посещаемых ресурсов. Что поделать, безопасность и удобство всегда стояли на разных чашах весов.
Web Bugs
Web Bugs — это невидимые детали веб-страниц, используемые для мониторинга посещений сайта, они способны дополнительно отсылать серверу разные данные о клиенте.
Для блокирования web bugs существуют два основных дополнения: [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/ghostery/"]Ghostery[/DLMURL] и [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/donottrackplus/"]DoNotTrackMe[/DLMURL].
Принцип у них схож, когда я их сравнивал, то остановился по своим субъективным ощущениями на Ghostery, его и опишу. Важно отметить, что при дефолтной настройке Ghostery не блокирует все баги и треккеры, это надо сделать вручную, в его настройках по локальному адресу: resource://firefox-at-ghostery-dot-com/ghostery/data/options.html.
При заходе на сайт, где есть подобные элементы, Ghostery их заблокирует и выдаст следующее оповещение.
Со временем вы заметите, что Ghostery и RequestPolicy пересекаются в блокировании некоторых элементов, например, Google Analytics, Yandex.Metrics и пр.
HTTP-referer
HTTP-referer — это http-заголовок, с помощью которого веб-сайт может определить, откуда к нему идёт траффик. Если вы кликнули по ссылке, которая передает http-referer, то сайт, на который данная ссылка ведёт, сможет узнать, с какого именно сайта вы на него перешли.
Firefox имеет интересную настройку в about:config: network.http.sendRefererHeader. Данный пункт определяет, в каких случаях будет отсылаться HTTP-referer. Есть три варианта:
Используем установленное по умолчанию значение network.http.sendRefererHeader = 2.
Кликаем по ссылке: www.whatismyreferer.com, видим наш реферер, выделенный красным цветом (в вашем случае он будет немного отличаться):
Сделаем то же самое: www.whatismyreferer.com, но с network.http.sendRefererHeader = 0. Опа!
Ставьте network.http.sendRefererHeader = 0, и реферер передаваться не будет.
В настройках есть еще один схожий параметр, network.http.sendSecureXSiteReferrer, он отвечает за передачу реферера между двумя https-сайтами. Однако не заморачивайтесь, он не работает после отключения предыдущей настройки.
Кстати все слышали про поисковик DuckDuckGo? В том, что он рефереры не отправляет, я был уверен. Но кликнув левой кнопкой мыши по первой ссылке (после рекламы) в его поисковой выдаче по запросу: duckduckgo.com/?q=www.whatismyreferer.com с установленным network.http.sendRefererHeader = 2, я увидел следующее:
Если кликнуть средней кнопкой мыши (открыть новую вкладку), то всё ок, реферер действительно не показывается.
Будьте внимательны: рефереры используются в работе многих интернет-ресурсов, их отключение может привести к самым неожиданным последствиям, меня, например, после отключения реферера не пускало логиниться в TM ID.
Прочее
Совершенно лишним будет отправлять какую-либо служебную информацию в Mozilla.
Для пущей анонимности я бы советовал вообще не хранить пароли, хотя Firefox имеет возможность использования мастер-пароля, с помощью которого шифруются все остальные пароли, так что вытащить их в открытом виде нельзя.
[DLMURL="https://anonym.to?https://www.eff.org/https-everywhere"]HTTPS Everywhere[/DLMURL]
Данный аддон нужен для того, чтобы принудительно использовать только https-соединение для сайтов, которые это поддерживают.
[DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/adblock-plus/"]Adblock Plus[/DLMURL]
Не столько безопасно, сколько просто полезно. Adblock Plus нужен для блокировки всей возможной рекламы при этом он имеет регулярно обновляемый список фильтров. Я отмечу, что в настройках есть галочка: «Разрешить некоторую ненавязчивую рекламу», которую при желании можно убрать.
Последний совет для тех, кто активно пользуется SOCKS при веб-серфинге. Настройка network.proxy.socks_remote_dns определяет, где будут выполняться DNS-запросы при использовании SOCKS5. Значение «true» устанавливает, что они будут выполняться через SOCKS-прокси, а не на самом клиенте. Так мы защитимся от [DLMURL="https://anonym.to?https://www.dnsleaktest.com/what-is-a-dns-leak.php"]DNS-leaks[/DLMURL].
Подробнее о каждой настройке из about:config Firefox можно почитать [DLMURL="https://anonym.to?https://kb.mozillazine.org/About:config_entries"]тут[/DLMURL]. А по [DLMURL="https://anonym.to?https://forum.mozilla-russia.org/viewtopic.php?id=36226"]этой ссылке[/DLMURL] часть их расписана по-русски.
Tor через VPN. Сначала VPN, потом Tor
VPN-сервер при такой схеме является постоянным входным узлом, после него шифрованный траффик отправляется уже в сеть Tor. На практике схема реализуется просто: сначала производится подключение к VPN-серверу, далее запускается Tor-браузер, который автоматически настроит нужную маршрутизацию через VPN-тоннель.
Использование такой схемы позволяет скрыть сам факт использования Tor от нашего Интернет-провайдера. Также мы будем закрыты от входного узла Тора, который будет видеть адрес VPN-сервера. А в случае теоретической компрометации Tor, нас защитит рубеж VPN, который, разумеется, не хранит никаких логов.
Использование вместо VPN прокси-сервера, лишено смысла: без шифрования, обеспечиваемого VPN, мы не получим каких-либо значимых плюсов в такой схеме.
Стоит отметить, что специально для обхода запрета Tor интернет-провайдерами придумали так называемые bridges (мосты).
Мосты – это такие узлы сети Tor, которые не занесены в центральный каталог Tor, то есть не видны, например, [DLMURL="https://anonym.to?https://bridges.torproject.org/https://194.109.206.212/tor/status-vote/current/consensus/"]здесь[/DLMURL] или [DLMURL="https://anonym.to?https://bridges.torproject.org/https://atlas.torproject.org/"]здесь[/DLMURL], а, следовательно, труднее обнаруживаются.
Как настроить мосты, подробно написано [DLMURL="https://anonym.to?https://bridges.torproject.org/https://www.torproject.org/docs/bridges.html.en"]здесь[/DLMURL].
Несколько мостов может дать нам сам сайт Tor по [DLMURL="https://anonym.to?https://bridges.torproject.org/"]адресу[/DLMURL].
Можно также получить адреса мостов по почте, отправив на адрес bridges@torproject.org или bridges@bridges.torproject.org письмо с текстом: «get bridges». Обязательно отправлять это письмо с почты от gmail.com или yahoo.com
В ответ мы получим письмо с их адресами:
«Here are your bridge relays:
bridge 60.16.182.53:9001
bridge 87.237.118.139:444
bridge 60.63.97.221:443»
Эти адреса нужно будет указать в настройках Vidalia – прокси-сервера Tor.
Иногда происходит так, что и мосты блокируются. Для обхода этого в Tor введены так называемые «obfuscated bridges». Не вдаваясь в подробности, их труднее обнаружить. Чтобы к ним подключиться, надо, например, скачать, [DLMURL="https://anonym.to?https://www.torproject.org/docs/pluggable-transports.html.en#download"]Pluggable Transports Tor Browser Bundle[/DLMURL].
Плюсы схемы:
Минусы схемы:
VPN через Tor. Сначала Tor, потом VPN
В таком случае VPN-сервер является постоянным выходным узлом в сеть Интернет.
Подобная схема подключения может использоваться для обхода блокировки узлов Tor внешними ресурсами, плюс она должна защитить наш траффик от прослушивания на выходном узле Tor.
Существует немало технических сложностей в установлении такого подключения, например, вы же помните, что цепочка Tor обновляется раз в 10 минут или то, что Tor не пропускает UDP? Самый жизнеспособный вариант практической реализации это использование двух виртуальных машин (об этом чуть ниже).
Важно также отметить, что любой выходной узел легко выделит клиента в общем потоке, так как большинство пользователей идут на разные ресурсы, а при использовании подобной схемы клиент идёт всегда на один и тот же VPN-сервер.
Естественно, что использование обычных прокси-серверов после Tor не имеет особого смысла, так как траффик до прокси не шифруется.
Плюсы схемы:
Минусы схемы:
Концепция Whonix
Существует множество дистрибутивов ОС, основной целью которых является обеспечение анонимности и защиты клиента в Интернете, например, [DLMURL="https://anonym.to?https://tails.boum.org/"]Tails[/DLMURL] и [DLMURL="https://anonym.to?https://dee.su/liberte"]Liberte[/DLMURL] и другие. Однако наиболее технологичным, постоянно развивающимся и эффективным решением, реализующим самые передовые техники по обеспечению безопасности и анонимности, является дистрибутив ОС [DLMURL="https://anonym.to?https://sourceforge.net/p/whonix/wiki/Home/#whonix-homepage"]Whonix[/DLMURL].
Дистрибутив состоит из двух виртуальных машин Debian на VirtualBox, одна из которых является шлюзом, отправляющим весь траффик в сеть Tor, а другая – изолированной рабочей станцией, подключающейся только к шлюзу. Whonix реализует в себе механизм так называемого изолирующего прокси-сервера. Существует также вариант физического разделения шлюза и рабочей станции.
Так как рабочая станция не знает свой внешний ip-адрес в Интернете, это позволяет нейтрализовать множество уязвимостей, например, если вредоносное ПО получит root-доступ к рабочей станции, у него не будет возможности узнать реальный ip-адрес. Вот схема работы Whonix, взятая с его официального сайта.
Вопрос дружбы Tor и VPN — неоднозначный. Споры на форумах по этой теме не утихают.
Статья канала DEEPWEB
Cookies
Cookies — это текстовые файлы с какими-либо значениями, хранимые приложением (часто — браузером) для разных задач, например, аутентификации.
Если совсем отключить приём cookies, то на некоторых сайтах могут возникнуть проблемы с авторизацией, но Firefox позволяет принимать cookies и очищать их после своего закрытия. Пункт «Принимать куки со сторонних сайтов» тоже желательно отключить, однако, например, залогинившись на Хабре с отключенным 3rd party куки, мы не получим доступа на habrastorage.org, поэтому я предпочитаю всё же принимать куки с посещенных сайтов.
Более того, Firefox позволяет вести белый и чёрный список сайтов с куки.
Если мы хотим приватности, то при закрытии Firefox, нужно всё очищать. Да, не совсем удобно, но и следов не остаётся.
Обратите внимание на галочку «Flash Cookies», это не дефолтная галочка Firefox, о ней мы поговорим чуть позже, когда затронем LSO или Flash cookies.
Здесь же, в настройках, особое внимание стоит уделить очистке кеша браузера. В статье: "[DLMURL="https://anonym.to?https://habrahabr.ru/post/190488/"]Cookie без куков[/DLMURL]", обосновывается необходимость очистки кеша.
На странице настроек Firefox: about:config, есть параметр: browser.cache.disk.enable, отвечающий за использование дискового кэша. Значение «false», означает, что кеш использоваться вообще не будет. По остальным настройкам browser.cache.disk не заморачивайтесь, после отключения кеша они уже не важны.
А удобная и бесплатная программа, [DLMURL="https://anonym.to?https://www.piriform.com/ccleaner"]CCleaner[/DLMURL], поможет вам вычистить все уже накопленные следы интернет-активности, хранящиеся даже в самых дальних уголках жесткого диска.
Java, Flash, Adobe Reader...
Все эти плагины являются отдельными приложениями, которые запускаются от имени пользователя. Они могут обходить настройки прокси, хранить свои отдельные долгоживущие cookies (Flash — Local Shared Objects) и пр.
Все плагины в идеале должны быть отключены или удалены. Без Java и Adobe Reader в браузере вполне можно прожить, но бывают ситуации, когда Flash всё же приходится включать, иначе сайт попросту не заработает. В таком случае нужно обеспечить регулярное обновление Flash и запрет хранения Local Shared Objects (LSO) или Flash cookies.
Также рекомендуется включать Flash только по запросу. Так вы разрешите запускать именно тот элемент Flash, который действительно сами хотите. Сделать это можно в настройках плагинов (дополнений).
Для запрета хранения LSO специально разработано дополнение к Firefox, [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/betterprivacy/"]Better privacy[/DLMURL]. Я предпочитаю, чтобы галочка об очистке LSO была добавлена в меню Firefox «Стереть историю», как на предыдущем рисунке.
Fingerprint (отпечаток) браузера
Браузер предоставляет серверу десятки категорий данных, в том числе и так называемый [DLMURL="https://anonym.to?https://en.wikipedia.org/wiki/User_agent"]user agent[/DLMURL]. Всё это может сформировать достаточно уникальный «цифровой отпечаток браузера», по которому его можно найти среди многих других уже в анонимном сеансе.
Существует немало дополнений по подмене юзерагента браузера, я привык пользоваться [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/user-agent-overrider/"]User Agent Overrider[/DLMURL]. Дополнение стабильно, удобно, постоянно обновляется, есть в официальных репозиториях Firefox.
Скрипты Javascript
Скрипты Javascript, исполняемые на стороне клиента, могут собирать для сервера множество категорий идентифицирующий данных. Более того, если посещаемый сайт подвержен [DLMURL="https://anonym.to?https://en.wikipedia.org/wiki/Cross-site_scripting"]XSS[/DLMURL], то включенные на нём скрипты Javascript помогут злоумышленнику провести успешную атаку со всеми вытекающими последствиями.
Для того, чтобы запретить данные скрипты лучше всего подходит дополнение [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/noscript/"]NoScript[/DLMURL].
Помимо Javascript дополнение может блокировать еще множество различных элементов: Java, Flash и пр. Пользователь может временно разрешить выполнение всего активного содержимого на странице или сделать это на постоянной основе.
В этом же разделе я опишу еще один аддон, который идёт бок-о-бок с NoScript: [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/requestpolicy/"]RequestPolicy[/DLMURL].
Аддон RequestPolicy нужен для контроля межсайтовых запросов и защиты от [DLMURL="https://anonym.to?https://en.wikipedia.org/wiki/Cross-site_request_forgery"]CSRF[/DLMURL]. Межсайтовые запросы осуществляются, когда вы зашли на один сайт, он запросил уже у другого сайта нужный ресурс, например, картинку, и показал её вам. Подобные механизмы наиболее часто используются в рекламных целях. Отмечу, что таким образом вредоносные сайты могут делать совсем плохие вещи, например, при определённых условиях выполнять несанкционированные действия на третьем сайте с вашими сохранившимися куками. Представьте, чем это может грозить.
Автор RequestPolicy рекомендует использовать его в связке с NoScript, так как каждое дополнение заточено под свои цели, а вместе они позволяют добиться гибкой и всесторонней защиты. На картинке RequestPolicy блокирует картинку с habrastorage.org.
Стоит отметить, что некоторым сайтам совсем не нравится блокировка Javascript и межсайтовых запросов. Должно пройти какое-то время в режиме «обучения», чтобы сформировался доверенный список регулярно посещаемых ресурсов. Что поделать, безопасность и удобство всегда стояли на разных чашах весов.
Web Bugs
Web Bugs — это невидимые детали веб-страниц, используемые для мониторинга посещений сайта, они способны дополнительно отсылать серверу разные данные о клиенте.
Для блокирования web bugs существуют два основных дополнения: [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/ghostery/"]Ghostery[/DLMURL] и [DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/donottrackplus/"]DoNotTrackMe[/DLMURL].
Принцип у них схож, когда я их сравнивал, то остановился по своим субъективным ощущениями на Ghostery, его и опишу. Важно отметить, что при дефолтной настройке Ghostery не блокирует все баги и треккеры, это надо сделать вручную, в его настройках по локальному адресу: resource://firefox-at-ghostery-dot-com/ghostery/data/options.html.
При заходе на сайт, где есть подобные элементы, Ghostery их заблокирует и выдаст следующее оповещение.
Со временем вы заметите, что Ghostery и RequestPolicy пересекаются в блокировании некоторых элементов, например, Google Analytics, Yandex.Metrics и пр.
HTTP-referer
HTTP-referer — это http-заголовок, с помощью которого веб-сайт может определить, откуда к нему идёт траффик. Если вы кликнули по ссылке, которая передает http-referer, то сайт, на который данная ссылка ведёт, сможет узнать, с какого именно сайта вы на него перешли.
Firefox имеет интересную настройку в about:config: network.http.sendRefererHeader. Данный пункт определяет, в каких случаях будет отсылаться HTTP-referer. Есть три варианта:
- 0 – никогда не отсылать HTTP-referer
- 1 – отсылать только по кликнутым ссылкам
- 2 – отсылать для ссылок и картинок (по умолчанию)
Используем установленное по умолчанию значение network.http.sendRefererHeader = 2.
Кликаем по ссылке: www.whatismyreferer.com, видим наш реферер, выделенный красным цветом (в вашем случае он будет немного отличаться):
Сделаем то же самое: www.whatismyreferer.com, но с network.http.sendRefererHeader = 0. Опа!
Ставьте network.http.sendRefererHeader = 0, и реферер передаваться не будет.
В настройках есть еще один схожий параметр, network.http.sendSecureXSiteReferrer, он отвечает за передачу реферера между двумя https-сайтами. Однако не заморачивайтесь, он не работает после отключения предыдущей настройки.
Кстати все слышали про поисковик DuckDuckGo? В том, что он рефереры не отправляет, я был уверен. Но кликнув левой кнопкой мыши по первой ссылке (после рекламы) в его поисковой выдаче по запросу: duckduckgo.com/?q=www.whatismyreferer.com с установленным network.http.sendRefererHeader = 2, я увидел следующее:
Если кликнуть средней кнопкой мыши (открыть новую вкладку), то всё ок, реферер действительно не показывается.
Будьте внимательны: рефереры используются в работе многих интернет-ресурсов, их отключение может привести к самым неожиданным последствиям, меня, например, после отключения реферера не пускало логиниться в TM ID.
Прочее
Совершенно лишним будет отправлять какую-либо служебную информацию в Mozilla.
Для пущей анонимности я бы советовал вообще не хранить пароли, хотя Firefox имеет возможность использования мастер-пароля, с помощью которого шифруются все остальные пароли, так что вытащить их в открытом виде нельзя.
[DLMURL="https://anonym.to?https://www.eff.org/https-everywhere"]HTTPS Everywhere[/DLMURL]
Данный аддон нужен для того, чтобы принудительно использовать только https-соединение для сайтов, которые это поддерживают.
[DLMURL="https://anonym.to?https://addons.mozilla.org/ru/firefox/addon/adblock-plus/"]Adblock Plus[/DLMURL]
Не столько безопасно, сколько просто полезно. Adblock Plus нужен для блокировки всей возможной рекламы при этом он имеет регулярно обновляемый список фильтров. Я отмечу, что в настройках есть галочка: «Разрешить некоторую ненавязчивую рекламу», которую при желании можно убрать.
Последний совет для тех, кто активно пользуется SOCKS при веб-серфинге. Настройка network.proxy.socks_remote_dns определяет, где будут выполняться DNS-запросы при использовании SOCKS5. Значение «true» устанавливает, что они будут выполняться через SOCKS-прокси, а не на самом клиенте. Так мы защитимся от [DLMURL="https://anonym.to?https://www.dnsleaktest.com/what-is-a-dns-leak.php"]DNS-leaks[/DLMURL].
Подробнее о каждой настройке из about:config Firefox можно почитать [DLMURL="https://anonym.to?https://kb.mozillazine.org/About:config_entries"]тут[/DLMURL]. А по [DLMURL="https://anonym.to?https://forum.mozilla-russia.org/viewtopic.php?id=36226"]этой ссылке[/DLMURL] часть их расписана по-русски.
Tor через VPN. Сначала VPN, потом Tor
VPN-сервер при такой схеме является постоянным входным узлом, после него шифрованный траффик отправляется уже в сеть Tor. На практике схема реализуется просто: сначала производится подключение к VPN-серверу, далее запускается Tor-браузер, который автоматически настроит нужную маршрутизацию через VPN-тоннель.
Использование такой схемы позволяет скрыть сам факт использования Tor от нашего Интернет-провайдера. Также мы будем закрыты от входного узла Тора, который будет видеть адрес VPN-сервера. А в случае теоретической компрометации Tor, нас защитит рубеж VPN, который, разумеется, не хранит никаких логов.
Использование вместо VPN прокси-сервера, лишено смысла: без шифрования, обеспечиваемого VPN, мы не получим каких-либо значимых плюсов в такой схеме.
Стоит отметить, что специально для обхода запрета Tor интернет-провайдерами придумали так называемые bridges (мосты).
Мосты – это такие узлы сети Tor, которые не занесены в центральный каталог Tor, то есть не видны, например, [DLMURL="https://anonym.to?https://bridges.torproject.org/https://194.109.206.212/tor/status-vote/current/consensus/"]здесь[/DLMURL] или [DLMURL="https://anonym.to?https://bridges.torproject.org/https://atlas.torproject.org/"]здесь[/DLMURL], а, следовательно, труднее обнаруживаются.
Как настроить мосты, подробно написано [DLMURL="https://anonym.to?https://bridges.torproject.org/https://www.torproject.org/docs/bridges.html.en"]здесь[/DLMURL].
Несколько мостов может дать нам сам сайт Tor по [DLMURL="https://anonym.to?https://bridges.torproject.org/"]адресу[/DLMURL].
Можно также получить адреса мостов по почте, отправив на адрес bridges@torproject.org или bridges@bridges.torproject.org письмо с текстом: «get bridges». Обязательно отправлять это письмо с почты от gmail.com или yahoo.com
В ответ мы получим письмо с их адресами:
«Here are your bridge relays:
bridge 60.16.182.53:9001
bridge 87.237.118.139:444
bridge 60.63.97.221:443»
Эти адреса нужно будет указать в настройках Vidalia – прокси-сервера Tor.
Иногда происходит так, что и мосты блокируются. Для обхода этого в Tor введены так называемые «obfuscated bridges». Не вдаваясь в подробности, их труднее обнаружить. Чтобы к ним подключиться, надо, например, скачать, [DLMURL="https://anonym.to?https://www.torproject.org/docs/pluggable-transports.html.en#download"]Pluggable Transports Tor Browser Bundle[/DLMURL].
Плюсы схемы:
- мы скроем от Интернет-провайдера сам факт использования Tor (или подключимся к Tor, если его блокирует провайдер). Однако, для этого существуют специальные мосты;
- скроем от входного узла Tor свой ip-адрес, заменив его адресом VPN-сервера, однако это не самое эффективное повышение анонимности;
- в случае теоретической компрометации Tor, останемся за VPN-сервером.
Минусы схемы:
- мы должны доверять VPN-серверу при отсутствии каких-либо значимых плюсов такого подхода.
VPN через Tor. Сначала Tor, потом VPN
В таком случае VPN-сервер является постоянным выходным узлом в сеть Интернет.
Подобная схема подключения может использоваться для обхода блокировки узлов Tor внешними ресурсами, плюс она должна защитить наш траффик от прослушивания на выходном узле Tor.
Существует немало технических сложностей в установлении такого подключения, например, вы же помните, что цепочка Tor обновляется раз в 10 минут или то, что Tor не пропускает UDP? Самый жизнеспособный вариант практической реализации это использование двух виртуальных машин (об этом чуть ниже).
Важно также отметить, что любой выходной узел легко выделит клиента в общем потоке, так как большинство пользователей идут на разные ресурсы, а при использовании подобной схемы клиент идёт всегда на один и тот же VPN-сервер.
Естественно, что использование обычных прокси-серверов после Tor не имеет особого смысла, так как траффик до прокси не шифруется.
Плюсы схемы:
- защита от прослушивания траффика на выходном узле Tor, однако сами разработчики Tor рекомендуют использовать шифрование на прикладном уровне, например, https;
- защита от блокирования адресов Tor внешними ресурсами.
Минусы схемы:
- сложная реализация схемы;
- мы должны доверять выходному VPN-серверу.
Концепция Whonix
Существует множество дистрибутивов ОС, основной целью которых является обеспечение анонимности и защиты клиента в Интернете, например, [DLMURL="https://anonym.to?https://tails.boum.org/"]Tails[/DLMURL] и [DLMURL="https://anonym.to?https://dee.su/liberte"]Liberte[/DLMURL] и другие. Однако наиболее технологичным, постоянно развивающимся и эффективным решением, реализующим самые передовые техники по обеспечению безопасности и анонимности, является дистрибутив ОС [DLMURL="https://anonym.to?https://sourceforge.net/p/whonix/wiki/Home/#whonix-homepage"]Whonix[/DLMURL].
Дистрибутив состоит из двух виртуальных машин Debian на VirtualBox, одна из которых является шлюзом, отправляющим весь траффик в сеть Tor, а другая – изолированной рабочей станцией, подключающейся только к шлюзу. Whonix реализует в себе механизм так называемого изолирующего прокси-сервера. Существует также вариант физического разделения шлюза и рабочей станции.
Так как рабочая станция не знает свой внешний ip-адрес в Интернете, это позволяет нейтрализовать множество уязвимостей, например, если вредоносное ПО получит root-доступ к рабочей станции, у него не будет возможности узнать реальный ip-адрес. Вот схема работы Whonix, взятая с его официального сайта.
Вопрос дружбы Tor и VPN — неоднозначный. Споры на форумах по этой теме не утихают.
Статья канала DEEPWEB