Луа — не черепаха. Скорость загрузки Lua-файла с данными доходит до десятка мегабайт в секунду. 100 кб на чтение конфига — расточительно, а для организации хранения всех данных уже вполне нормально смотрится. Особенно это хорошо, если у вас на сервере тоже Lua. (А если сервер на JavaScript и nodejs, то не вижу смысла рыпаться — используйте JSON.)
Да. Для JavaScript и других языков есть способы исполнить Lua (интерпретаторы, трансляторы, виртуальные машины). Реализация Lua занимает 100 килобайт — меньше, чем jquery.
Результаты неутешительные. Пугают совпадения между Iceweasel и Tor Browser в Linux, а также расхождения Tor Browser в Linux и в Whonix.
Решения: 1) заблокировать функцию получения размера теста (подобно функции получения содержимого canvas); 2) вместе с Tor Browser распространять файлы шрифтов и использовать только их, а не системные шрифты, для рендеринга использовать один и тот же код на всех платформах, не использовать аппаратные и платформозависимые функции. Второе решение сложнее реализовать, так что пока можно ограничиться первым.
А для начала надо сообщить разработчикам Tor Browser, что найден источник фингерпринтинга и прикрепить ссылку на тест. Вы этим займётесь?
Открыл обе ссылки в обычном Tor Browser (свежем, без куков, только что после New Identity). В обоих случаях произошла ошибка. Привожу текст ошибки для второй ссылки: «ReferenceError: BLAKE2s is not defined light:133».
Для Whonix от host'а не нужно ничего, кроме собственно VirtualBox. Давайте разделим: вы подготовите работающий URL с тестом, а я проверю его из Whonix :)
А почему не Lua? По всем перечисленным критериям Lua выглядит прилично. Более того, как язык программирования, Lua позволяет намного больше, чем просто хранить данные. Некоторые программы данные в Lua и хранят — Sputnik и awesome.
Действительно открывается file:///home/starius/test.html
Наверное, я спутал с блокировкой 127.0.0.1 и айпишников локальной сети в TBB.
Заранее благодарен за тест, работающий с сайта.
Уязвимость обычных браузеров к фингерпринтингу очевидна, тут и проверять нечего. Интересна именно атака на TBB и именно с сайта. Вдруг локальные html-файлы имеют в TBB больше привилегий, чем сайты? Кстати, я слышал, что возможность открывать локальные файлы в TBB закрыли. В общем, переделайте для просмотра через сайт, пожалуйста.
Таким браузером и должен быть TBB. Если в TBB по умолчанию утекает что-то, полезное для фингерпринтинга, то это надо исправлять. Проверялся на ip-check.info и ничего подозрительного с шрифтами не нашлось.
1. Загрузил ваш тест к себе (ссылка). Открываю в TBB, результата не вижу, в консоли появляется сообщение «SyntaxError: JSON.parse: unexpected character at line 1 column 1 of the JSON data fingerprint.html:87».
2. Какой смысл в десятикратном тесте?
3. Не понял, как происходит фингерпринтинг в TBB, если в нём не работает функция получения содержимого canvas.
Кеды. Почему? Потому что их любит разработчик. К счастью, они не стартуют, если урезать виртуалке память. Подробная информация высвечивается при импорте ova.
Когда пытался убедить одного человека бросить курить, мне сказали, что если не курить, то волнуешься, что ещё хуже для здоровья. Получается, курильщики довольно эгоистичны: снимают своё волнение, а другим нюхать приходится.
Сила действия равна силе противодействия, вот люди и ищут избыточную свободу из-за избыточных запретов. Кстати, меня бы не удивило, если бы основная масса покупателей пришлась на как раз обеспеченных и бездетных. Слабо представляю, чтобы отец семейства стал заказывать наркотики — у него и так хлопот хватает.
Незадолго до этого опиум свободно продавался в Европе, но массовой наркомании не происходило. Наверное, проблема была всё-таки не в опиуме, а в господстве англичан, которые искали любые пути для выкачивания денег из Азии.
Или это тоже вписывается в вашу теорию естественного отбора?
В детском алкоголизме и наркомании виноваты только родители. Почему государство должно плодить алкоголиков и наркоманов за счёт средств и свобод нормальных граждан?
jsfiddle.net/fyw4qmdg/5/ заработал и в Tor Browser, и в Iceweasel.
Iceweasel прошёл через все 10 итераций и выдал следующее:
Обычный Tor Browser в Linux застрял на первой итерации. Постоянно загружает какие-то файлы из сети. Мне удалось скопировать следующее:
Tor Browser в Whonix аналогично застрял. Привожу результаты:
Результаты неутешительные. Пугают совпадения между Iceweasel и Tor Browser в Linux, а также расхождения Tor Browser в Linux и в Whonix.
Решения: 1) заблокировать функцию получения размера теста (подобно функции получения содержимого canvas); 2) вместе с Tor Browser распространять файлы шрифтов и использовать только их, а не системные шрифты, для рендеринга использовать один и тот же код на всех платформах, не использовать аппаратные и платформозависимые функции. Второе решение сложнее реализовать, так что пока можно ограничиться первым.
А для начала надо сообщить разработчикам Tor Browser, что найден источник фингерпринтинга и прикрепить ссылку на тест. Вы этим займётесь?
Наверное, я спутал с блокировкой 127.0.0.1 и айпишников локальной сети в TBB.
Заранее благодарен за тест, работающий с сайта.
2. Какой смысл в десятикратном тесте?
3. Не понял, как происходит фингерпринтинг в TBB, если в нём не работает функция получения содержимого canvas.
Counter-Terrorists Win