Спасибо за Ваш труд, интересная информация по тестам! Только лучше было бы все же предварительно настроить MySQL, это было бы больше похоже на реальные испытания.
Не передергивайте — 3s3s.ru не является анонимайзером, а наоборот, он предоставляет доступ к трафику большему кол-ву лиц, чем если бы пользователь зашел на сайт на прямую. Причины я описал выше и ниже в комментариях.
Конечно, так как трафик сначала передается посреднику (3s3s.ru), там обрабатывается, и в уже измененном виде передается клиенту. Т.е. для сайта — посредник как раз и является клиентом. Поэтому никакой HTTPS не спасет от фишиншга. Ради интереса, откройте через 3s3s сайт HTTPS mail.ru и посмотрите адрес, по которому будет передаваться логи и пароль — http://h_t_t_p_s.auth.mail.ru.3s3s.ru/cgi-bin/auth?from=splash, т.е. учетные данные сначала получит 3s3s.ru, обработает их и только потом они будут переданы на сервер mail.ru.
А по какому праву на Хабре существует статья про Анонимайзер, который по сути является фишинговым сайтом, автор которого может перехваттить все пользовательские пароли, даже с казалось бы защищенных по SSL сайтов? Назвав свое творение «Анонимайзер», 3s3s явно обманул пользователей, так как вместо обещанной анонимности пользователь получает раскрытие трафика (HTTPS->HTTP), возможность просмотра защищенного трафика в открытом виде не только 3s3s, но и всем, кто может это сделать на пути от сервера 3s3s.ru до пользователя. Также, в отсутствии анонимности можно убедится, открыв 2ip.ru (http://h_t_t_p_s.2ip.ru.3s3s.ru/privacy/) — дождитесь загрузки кнопки «проверить» — и вы обнаружите, что реальный IP так же не секрет для посещаемого ресурса.
Автор, каким образом блокировка в OpenDNS связана с рекламой?! В сообщении черным по серому написано, что 3s3s заблокирован из-за угрозы фишинга. Фишинг — получение доступа к конфиденциальным данным пользователей — логинам и паролям, ваш сайт как раз позволяет получить доступ к пользовательским логинам и паролям, причем даже к тем, которые должны были бы идти по HTTPS!
Achtung, Хабросообщество!!! Неужели никто кроме нескольких пользователей не замечает, что 3s3s — это самая настоящая ловушка для перехвата трафика, и к слову «Анонимайзер» не имеет никакого отношения?!
Не правда. Зайдя по правильной ссылке (ваша не открывается) http://h_t_t_p_s.2ip.ru.3s3s.ru/privacy/
Можно легко убедиться, что анонимайзер 3s3s.ru полностью скрывает IP адрес пользователя.
Далее вы пишите:
Я был уверен, что 3s3s.ru не скрывает IP адрес от флэша, но почему-то оказалось, что мой адрес скрывает.
Не хорошо получается, да? А еще других во лжи обвиняете…
Еще раз повторю: вашу поделку (сервис 3s3s) никак нельзя называть «Анонимайзером», поскольку вместо «анонимности» она наоборот, расширяет круг лиц, которые смогут получить доступ к данным, передаваемым через сеть. Вы подменяете понятия, называя черное — белым, а это может дорого обойтись пользователям, уверенным в своей анонимности. Единственное назначение 3s3s — небезопасный просмотр заблокированных страниц.
Википедия, хоть и не является авторитетным ресурсом, но статья про «Анонимайзер» ответила бы на ваш вопрос, касательно «правильного web-анонимайзера» — такового, в принципе, не существует. Там, кстати, описываются дополнительные причины, почему не стоит пользоваться так называемыми «web-ананомайзерами». Конечно, никогда нельзя на 100% гарантировать анонимность, но то, что называется «Анонимайзером», должно хотя бы уменьшать вероятность доступа к данным для 3-их лиц, а не увеличивать её.
P.S. Вначале вы обвиняете меня во лжи, указывая, что невозможно узнать реальный IP-пользователя, который использует ваш сервис на 2ip.ru, но далее пишете: «покажите публике анонимайзер, который скрывает IP адрес пользователя от флэша», тем самым признавая мою правоту. Может быть стоит признать свою ошибку и извинится за столь громкие необоснованные обвинения?! Надеюсь, что это произошло из-за отсутствия у вас необходимых знаний, а не по злому умыслу.
Пожалуйста, отмечу только, что мой комментарий содержит правду.
Правда. Утечка IP происходит через Flash, если вы потрудитесь зайти в своем творении по адресу http://h_t_t_p_s.2ip.ru.3s3s.ru/privacy/ и дождетесь, чтобы загрузилась кнопочка «проверить», то свой реальный IP вы сможете увидеть в соответствующем пункте: «Утечка IP через Flash». Отмечу, что реальный IP отображается только тогда, когда вы дождетесь загрузки flash-кнопки «Проверить».
Автор, прежде чем называть свою поделку «анонимайзер», следует разобраться с самим термином, чтобы не вводить в заблуждение потенциальных пользователей. Почитайте что это такое хотя бы в Википедии. Ваш сервис (сейчас я говорю о 3s3s.ru, а не скрипте в целом) мало-того, что позволяет отследить реальный IP пользователя, так еще и является конвертером из HTTPS (защищенная передача) в HTTP (открытые, не зашифрованные данные). Карл — это мегадыра в безопасности! Чтобы называться «Анонимайзером» 3s3s.ru должен как минимум работать исключительно по https! Также автор этой поделки сможет прочитать весь трафик передаваемый через 3s3s.ru, в том числе и ранее зашифрованный.
Теперь давайте возьмем такой пример. Пользователь Вася, который слабо разбирается в технологиях передачи данных, прочитал эту статью про ваш «анонимайзер», купил себе VDS и выполнил все точь-в-точь по инструкции. Ура, подумал пользователь, «Заработало!!!». И давай ходить по запрещенным ссылкам и т.д. и т.п. — «это же анонимайзер, о котором написали на Хабре, значит обеспечивает анонимность» — так думал наивный Вася. Но в реальности, Вася только покрутил рекламные банеры 3s3s и раскрыл весь защищенный HTTPS трафик, переведя его в HTTP.
3s3s — это сервис для НЕбезопасного просмотра заблокированных страниц, но никак не анонимайзер. Устанавливать скрипт на свой VDS не имеет никакого смысла, так как VPN во 100крат надежнее, не крутит чужую рекламу (тот же OpenVPN), а установить его легче, чем «это» (а для скрипта 3s3s еще нужно регистрировать и настраивать домен, так как просто прописать данные в hosts в Win не получится из-за поддоменов, образующихся в ходе работы скрипта).
Тех, кто будет пользоваться Вашим «анонимайзером», следовало бы предупреждать о некоторых особенностях его работы, так как пользователи, рискнувшие использовать сервис «S3s3» в качестве анонимайзера, могут быть очень НЕприятно удивлены, в следствии недостаточного опыта и знаний в некоторых IT-технологиях:
«Аннонимайзер» пропускает сквозь себя реальный IP пользователя, т.е. сайт, который открывается с использованием s3s3 получает сведения о реальном IP посетителя. В этом легко убедится, зайдя, например, на h_t_t_p_s.2ip.ru.s3s3.ru/privacy. Помимо IP проходят и некоторые другие данные.
Все данные, просмотренные через s3s3.ru могут быть в полном объеме доступны владельцу сервиса. Причем даже с сайтов с правильными и надежными сертификатами. Т.е. зайдя например на сайт h_t_t_p_s.mail.ru.s3s3.ru и введя пароль от почты и нажав кнопку «Войти», вы передадите его сначала по адресу http://h_t_t_p_s.auth.mail.ru.3s3s.ru/cgi-bin/auth?from=splash — будет ли этот пароль сохранен администратором 3s3s.ru — неизвестно, главное знать, что это возможно.
Обязательное принудительное перенаправление на HTTPS://s3s3.ru — использование http и анонимность — несовместимые понятия. Letsencrypt Вам в помощь — бесплатно и без предупреждения о «небезопасном сайте». Передача конфиденциальных данных по http — это очень плохая идея!
В свете вышеизложенных фактов назвать 3s3s.ru анонимайзером — это как менять валюту в подворотне у уличного менялы: кинет или нет — неизвестно, но чем больше сумма, тем больше риск. Как было сказано выше в комментариях, при наличии VDS есть намного более безопасные способы сделать свой собственный анонимайзер и не надеяться на кристальную честность автора s3s3 и всех тех, кто имеет доступ к трафику, передаваемому по небезопасному http.
P.S. Удивительно, как реклама такого «чудо-анонимайзера», превращающего https в http вообще могла появится на Хабре? Просмотр заблокированных страниц — это да, но никак не «анонимайзер»!
Achtung, Хабросообщество!!! Неужели никто кроме нескольких пользователей не замечает, что 3s3s — это самая настоящая ловушка для перехвата трафика, и к слову «Анонимайзер» не имеет никакого отношения?!
Далее вы пишите:
Не хорошо получается, да? А еще других во лжи обвиняете…
Википедия, хоть и не является авторитетным ресурсом, но статья про «Анонимайзер» ответила бы на ваш вопрос, касательно «правильного web-анонимайзера» — такового, в принципе, не существует. Там, кстати, описываются дополнительные причины, почему не стоит пользоваться так называемыми «web-ананомайзерами». Конечно, никогда нельзя на 100% гарантировать анонимность, но то, что называется «Анонимайзером», должно хотя бы уменьшать вероятность доступа к данным для 3-их лиц, а не увеличивать её.
P.S. Вначале вы обвиняете меня во лжи, указывая, что невозможно узнать реальный IP-пользователя, который использует ваш сервис на 2ip.ru, но далее пишете: «покажите публике анонимайзер, который скрывает IP адрес пользователя от флэша», тем самым признавая мою правоту. Может быть стоит признать свою ошибку и извинится за столь громкие необоснованные обвинения?! Надеюсь, что это произошло из-за отсутствия у вас необходимых знаний, а не по злому умыслу.
Правда. Утечка IP происходит через Flash, если вы потрудитесь зайти в своем творении по адресу http://h_t_t_p_s.2ip.ru.3s3s.ru/privacy/ и дождетесь, чтобы загрузилась кнопочка «проверить», то свой реальный IP вы сможете увидеть в соответствующем пункте: «Утечка IP через Flash». Отмечу, что реальный IP отображается только тогда, когда вы дождетесь загрузки flash-кнопки «Проверить».
Автор, прежде чем называть свою поделку «анонимайзер», следует разобраться с самим термином, чтобы не вводить в заблуждение потенциальных пользователей. Почитайте что это такое хотя бы в Википедии. Ваш сервис (сейчас я говорю о 3s3s.ru, а не скрипте в целом) мало-того, что позволяет отследить реальный IP пользователя, так еще и является конвертером из HTTPS (защищенная передача) в HTTP (открытые, не зашифрованные данные). Карл — это мегадыра в безопасности! Чтобы называться «Анонимайзером» 3s3s.ru должен как минимум работать исключительно по https! Также автор этой поделки сможет прочитать весь трафик передаваемый через 3s3s.ru, в том числе и ранее зашифрованный.
Теперь давайте возьмем такой пример. Пользователь Вася, который слабо разбирается в технологиях передачи данных, прочитал эту статью про ваш «анонимайзер», купил себе VDS и выполнил все точь-в-точь по инструкции. Ура, подумал пользователь, «Заработало!!!». И давай ходить по запрещенным ссылкам и т.д. и т.п. — «это же анонимайзер, о котором написали на Хабре, значит обеспечивает анонимность» — так думал наивный Вася. Но в реальности, Вася только покрутил рекламные банеры 3s3s и раскрыл весь защищенный HTTPS трафик, переведя его в HTTP.
3s3s — это сервис для НЕбезопасного просмотра заблокированных страниц, но никак не анонимайзер. Устанавливать скрипт на свой VDS не имеет никакого смысла, так как VPN во 100крат надежнее, не крутит чужую рекламу (тот же OpenVPN), а установить его легче, чем «это» (а для скрипта 3s3s еще нужно регистрировать и настраивать домен, так как просто прописать данные в hosts в Win не получится из-за поддоменов, образующихся в ходе работы скрипта).
В свете вышеизложенных фактов назвать 3s3s.ru анонимайзером — это как менять валюту в подворотне у уличного менялы: кинет или нет — неизвестно, но чем больше сумма, тем больше риск. Как было сказано выше в комментариях, при наличии VDS есть намного более безопасные способы сделать свой собственный анонимайзер и не надеяться на кристальную честность автора s3s3 и всех тех, кто имеет доступ к трафику, передаваемому по небезопасному http.
P.S. Удивительно, как реклама такого «чудо-анонимайзера», превращающего https в http вообще могла появится на Хабре? Просмотр заблокированных страниц — это да, но никак не «анонимайзер»!