Comments 20
Мы рекомендуем пользователям обновить свою копию веб-браузера до версии 6.0.5. Загрузить ее можно здесь или на веб-странице с директорией дистрибутивов.
Он сам обновляется уже почти два года (начиная с версии 4.0).
У меня Linux и нужно вручную нажать на кнопку «Проверить на наличие обновлений Tor Browser»
У меня Linux и браузер сам скачивает и применяет обновление в фоне и просит подтвердить перезапуск браузера, когда всё готово. Можно и вручную проверять.
Кстати, для первоначальной установки написал скрипт и таскаю его с собой.
>attacker who is able to obtain a valid certificate for addons.mozilla.org
переводится как
атакующий получивший правильный сертификат для addons.mozilla.org
у вас же «действительный или фальшивый»
Дальше NoScript употребялся лишь как пример ( eg NoScript ) на самом же деле имеется в виду любое расширение.;
переводится как
атакующий получивший правильный сертификат для addons.mozilla.org
у вас же «действительный или фальшивый»
Дальше NoScript употребялся лишь как пример ( eg NoScript ) на самом же деле имеется в виду любое расширение.;
Да, там речь о том, что в Firefox «вшиты» сведения о том, каким удостоверяющим центром должен быть выдан сертификат для того или иного сайта. И, в идеале, даже если сертификат будет действительным, но выдан каким-то другим УЦ — браузер его отвергнет.
А из-за ошибки в коде эту проверку можно обойти, и задача сводится к «получить у любого УЦ действительный сертификат для нужного нам сайта». Поэтому атака для обычного «хакера» практически недоступна (сертификат всё-таки требуется действительный, подписанный УЦ), а вот спецслужбам легче надавить на УЦ.
А из-за ошибки в коде эту проверку можно обойти, и задача сводится к «получить у любого УЦ действительный сертификат для нужного нам сайта». Поэтому атака для обычного «хакера» практически недоступна (сертификат всё-таки требуется действительный, подписанный УЦ), а вот спецслужбам легче надавить на УЦ.
attacker who is able to obtain a valid certificate for addons.mozilla.org
переводится как
атакующий получивший правильный сертификат для addons.mozilla.org
Я бы перевёл "нарушитель, имеющий возможность получить действующий сертификат для addons.mozilla.org".
на самом же деле имеется в виду любое расширение
Думаю, не совсем любое, а только одно из установленных (а это NoScript, HTTPS Everywhere, Torbutton и TorLauncher).
А какой профит антивирусной компании от такой рекомендации? Рекомендуют хакерам, использующим теневой интернет для своих дел, закрыть дыры в безопасности?
Благородно, охотно верю.
Благородно, охотно верю.
А где гарантия, что злоумышленники не скомпрометируют сам addons.mozilla.org или не заставят автора какого-нибудь расширения внедрить закладку? Конечно, вероятность этого крайне мала, но в таком параноидальном браузере, как TOR Browser, могли бы в принципе позаботиться об этом и добавить в проверку из-коробочных расширений дополнительный шаг — например, автоматически вместе с проверкой обновлений самого браузера обновлять с того же сервера белый список хэшей встроенных расширений, подписанный тем же ключом, что и сам браузер. И если для какого-то дополнения автоматом загрузилось обновление, но при этом хэша новой версии нет в этом белом списке — отложить установку до тех пор, пока мейнтейнеры Tor Browser не проведут его аудит и не добавят в список. Или спросить юзера, желает ли он установить сейчас (опасно) либо дождаться аудита.
Безопасность от этого не пострадает, потому что даже если утащат ключ, которым этот список подписан и скомпрометируют его — с тем же успехом на тот же сервер попросту могут подложить левую версию самого браузера и поставить её под видом легитимной новой версии.
Безопасность от этого не пострадает, потому что даже если утащат ключ, которым этот список подписан и скомпрометируют его — с тем же успехом на тот же сервер попросту могут подложить левую версию самого браузера и поставить её под видом легитимной новой версии.
Да толку. Свои маршруты выстраивает по 15-40 минут с вероятностью 10% успеха. «Не юзабелен».
Как оно там, в 2005 году?
В 2016 Tor работает моментально и практически на скорости предоставляемой провайдером.
В 2016 Tor работает моментально и практически на скорости предоставляемой провайдером.
Всё-таки до скорости провайдера (100 мегабит) не дотягивает, но видео смотреть можно.
Что куда больше вредит — капчи и блокировки, появившиеся на разных сайтах.
«Доллар дешевле!», блин.
В 2005 было быстрее, до тех пор, пока страна не начала прилагать специальные усилия против него.
Давайте не будем спорить «у меня не работает» против «у меня работает».
Так что говорю как есть: на имеющуюся дату в имеющейся стране на имеющемся провайдере использовать получается нечасто.
А вот FoxyProxy (и аналогичные) обладают теми качествами, что вы указываете: соединение менее 10 секунд, в принципе можно смотреть видео на 720p.
Кстати, starius прав — много exit-нодов дискредитированы спамерами и прочими злодеями, и теперь половина сайтов даже обычного веб-сёрфера боятся.
В 2005 было быстрее, до тех пор, пока страна не начала прилагать специальные усилия против него.
Давайте не будем спорить «у меня не работает» против «у меня работает».
Так что говорю как есть: на имеющуюся дату в имеющейся стране на имеющемся провайдере использовать получается нечасто.
А вот FoxyProxy (и аналогичные) обладают теми качествами, что вы указываете: соединение менее 10 секунд, в принципе можно смотреть видео на 720p.
Кстати, starius прав — много exit-нодов дискредитированы спамерами и прочими злодеями, и теперь половина сайтов даже обычного веб-сёрфера боятся.
Давайте не будем спорить «у меня не работает» против «у меня работает».
Ниже я привёл несколько официальных показателей.
В 2005 было быстрее, до тех пор, пока страна не начала прилагать специальные усилия против него.
В 2005 пропускная способность сети была намного меньше.
Ещё один показатель: время загрузки файла 5 мегабайт:
По обоим показателям замечены существенные улучшения с 2005 года.
Добавлю свои личные замеры:
$ torsocks curl -o /dev/null http://speedtest.wdc01.softlayer.com/downloads/test10.zip
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 11.0M 100 11.0M 0 0 317k 0 0:00:35 0:00:35 --:--:-- 412k
$ curl -o /dev/null http://speedtest.wdc01.softlayer.com/downloads/test10.zip
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 11.0M 100 11.0M 0 0 785k 0 0:00:14 0:00:14 --:--:-- 1889kФайл 10 мегабайт загружается примерно в 2 раза дольше, если скачивать через Tor.
Могли бы вы провести аналогичные запуски, пожалуйста?
Не могу, извините.
Вот эта картинка у меня пятый час и такое происходит в 80-90% запусков.
https://postimg.org/image/799cg3wgr/
Я не настойчиво пробовал добиться результата в последние месяцы, не каждый день упорно продолжал запускать браузер — нашёл других поставщиков защиты.
Но в районе весны я был настроен решительно и перепробовал все опции его соединения. Очень нестабильно. Редко когда соединение устанавливалось. За это время я один-два раза переинсталлировал ОС, но не менял провайдера или конфигурацию раутера. Должен отметить, что зимой соединение было повеселее — минуту-три и внятная скорость.
Если браузер сегодня вообще соединится, я сразу же сюда дам статистику.
Вот эта картинка у меня пятый час и такое происходит в 80-90% запусков.
https://postimg.org/image/799cg3wgr/
Я не настойчиво пробовал добиться результата в последние месяцы, не каждый день упорно продолжал запускать браузер — нашёл других поставщиков защиты.
Но в районе весны я был настроен решительно и перепробовал все опции его соединения. Очень нестабильно. Редко когда соединение устанавливалось. За это время я один-два раза переинсталлировал ОС, но не менял провайдера или конфигурацию раутера. Должен отметить, что зимой соединение было повеселее — минуту-три и внятная скорость.
Если браузер сегодня вообще соединится, я сразу же сюда дам статистику.
Sign up to leave a comment.
Пользователям веб-браузера Tor рекомендуют обновить его как можно скорее