614 shaares
"Quand vous utilisez TOR pour aller sur le web "normal", cela veut dire que vos requêtes HTTP sortent par un participant aléatoire du réseau TOR. Le serveur web ne verra que cette adresse IP, pas la vôtre. Mais cela veut dire aussi que le nœud de sortie TOR verra votre trafic web ainsi que vos mots de passe. Et il y a déjà eu quelques affaires très sérieuses de vol de mots de passe liées à TOR. Et absolument n'importe qui peut mettre en route un nœud de sortie. Je vous recommande donc la prudence. En ce qui me concerne, je préfère ne pas pré-supposer qu'un membre du réseau TOR est forcément bienveillant (Bisounours outside™), donc je n'utilise pas TOR."
Et si tu ne te sers de TOR que pour la consommation passive ? ;) (ou pour diffuser "anonymement" évidemment, mais pas pour les connexions authentifiées)
À part une attaque man-in-the-middle qui remplacerait le contenu finale, tu as bien dit que le nœud de sortie ne peut pas savoir qui a émit la requête, etc ?
Et (ça ne va faire que la 3ème fois que je pose la question du coup (également dans mes 2 shaarliens précédent ^^)), il n'y pas moyen d'être "safe" via SSL ? :)
Sauf si, comme je le crains mais je n'en suis pas sûr, SSL ne signe pas les données qu'on envoie, il les chiffre juste pour le destinataire (enfin ça rendrait la substitution de données quand même plus délicate sauf si il s'agirait d'une requête atypique (donc pas besoin de connaître la nature du paquet émis, on le remplace juste par le notre))
Et si tu ne te sers de TOR que pour la consommation passive ? ;) (ou pour diffuser "anonymement" évidemment, mais pas pour les connexions authentifiées)
À part une attaque man-in-the-middle qui remplacerait le contenu finale, tu as bien dit que le nœud de sortie ne peut pas savoir qui a émit la requête, etc ?
Et (ça ne va faire que la 3ème fois que je pose la question du coup (également dans mes 2 shaarliens précédent ^^)), il n'y pas moyen d'être "safe" via SSL ? :)
Sauf si, comme je le crains mais je n'en suis pas sûr, SSL ne signe pas les données qu'on envoie, il les chiffre juste pour le destinataire (enfin ça rendrait la substitution de données quand même plus délicate sauf si il s'agirait d'une requête atypique (donc pas besoin de connaître la nature du paquet émis, on le remplace juste par le notre))