JeromeJ's links
614 shaares
3 results
tagged
tor
"Quand vous utilisez TOR pour aller sur le web "normal", cela veut dire que vos requêtes HTTP sortent par un participant aléatoire du réseau TOR. Le serveur web ne verra que cette adresse IP, pas la vôtre. Mais cela veut dire aussi que le nœud de sortie TOR verra votre trafic web ainsi que vos mots de passe. Et il y a déjà eu quelques affaires très sérieuses de vol de mots de passe liées à TOR. Et absolument n'importe qui peut mettre en route un nœud de sortie. Je vous recommande donc la prudence. En ce qui me concerne, je préfère ne pas pré-supposer qu'un membre du réseau TOR est forcément bienveillant (Bisounours outside™), donc je n'utilise pas TOR."
Et si tu ne te sers de TOR que pour la consommation passive ? ;) (ou pour diffuser "anonymement" évidemment, mais pas pour les connexions authentifiées)
À part une attaque man-in-the-middle qui remplacerait le contenu finale, tu as bien dit que le nœud de sortie ne peut pas savoir qui a émit la requête, etc ?
Et (ça ne va faire que la 3ème fois que je pose la question du coup (également dans mes 2 shaarliens précédent ^^)), il n'y pas moyen d'être "safe" via SSL ? :)
Sauf si, comme je le crains mais je n'en suis pas sûr, SSL ne signe pas les données qu'on envoie, il les chiffre juste pour le destinataire (enfin ça rendrait la substitution de données quand même plus délicate sauf si il s'agirait d'une requête atypique (donc pas besoin de connaître la nature du paquet émis, on le remplace juste par le notre))
Et si tu ne te sers de TOR que pour la consommation passive ? ;) (ou pour diffuser "anonymement" évidemment, mais pas pour les connexions authentifiées)
À part une attaque man-in-the-middle qui remplacerait le contenu finale, tu as bien dit que le nœud de sortie ne peut pas savoir qui a émit la requête, etc ?
Et (ça ne va faire que la 3ème fois que je pose la question du coup (également dans mes 2 shaarliens précédent ^^)), il n'y pas moyen d'être "safe" via SSL ? :)
Sauf si, comme je le crains mais je n'en suis pas sûr, SSL ne signe pas les données qu'on envoie, il les chiffre juste pour le destinataire (enfin ça rendrait la substitution de données quand même plus délicate sauf si il s'agirait d'une requête atypique (donc pas besoin de connaître la nature du paquet émis, on le remplace juste par le notre))
… dans une certaine mesure, troquer la confiance de la connexion "directe" à un serveur (le FAI ou le destinataire pouvant être 'vérolé' et/ou très peu soucieux de nos droits / note vie privée) contre la confiance en un tas de nœud piochés au hasard, on doit donc faire confiance à ces intermédiaires même sans les connaître (ce pourquoi je pense qu'il y aurait moyen de faire un système meilleur que TOR) à l'exception près qu'on bénéficie de la règle des 2 conneries à la seconde ( http://sametmax.com/deux-conneries-a-la-seconde/ ) qui nous protège bien mieux qu'une connexion directe en général.
Si je comprend bien son fonctionnement , je préconise quand même d'utiliser SSL (https) lorsque c'est possible (même si je ne suis pas sûr que ça puisse empêcher les attaques Man-In-The-Middle - voir mon précédent shaarlien).
Personnellement, j'utilise "TOR in a box" : https://www.torproject.org/dist/torbrowser/tor-browser-2.3.25-8_en-US.exe (via PoGo)
Il fournit NoScript par défaut même s'il n'est pas activé par défaut (je vous le conseille vivement). (NoScript ne permet pas le filtrage par somme md5 des scripts ? MAIS C'EST NUL de pouvoir filtrer uniquement par domaine -.- surtout si il y a une attaque man-in-the-middle)
Il y a moyen de visionner des vidéos flash avec TOR même si cela est déconseillé. Si vous le faites veillez bien à installer BetterPrivacy en plus … ça reste pas génial.
Perso j'ai aussi installer flashblock (inutile dans ce cas je pense car flash requiert toujours un démarrage manuel comparable à celui demandé par flashblock en temps normal)
Pourquoi je suis passé à TOR : https://panopticlick.eff.org/ Être détectable de façon unique sur l'entièreté de leur base de données (plus de 3M) … ça fait mal.
Pour limiter les dégâts (mais c'est malheureusement pas suffisant), désactivez tous les plugins à la con qui servent à rien (dans Firefox : Tools > Add-ons > Plugins), perso je n'ai gardé que flash (avec flash block)(un des plus traître avec Java) et le plugin VLC.
Vous pouvez aussi passer en navigation privée (avec Firefox : File > New private windows, mais la fonctionnalité est disponible avec les autres navigateurs aussi) mais pour ma part ce qui me gêne le plus alors est de ne pas pouvoir restaurer ma session en cas de crash (vu le nombre d'onglet que j'ai d'ouvert (+ de 200), ça m'énerverait).
Donc TOR est, selon moi, l'idéal pour pas mal de choses. Ou plutôt … le moins pire :)
Je reste quand même avec Firefox ouvert d'un côté et Firefox+TOR de l'autre pour utiliser l'un plutôt que l'autre en fonction des circonstances.
EDIT: http://www.sebsauvage.net/rhaa/index.php?2010/09/06/06/42/30-freenet-tor-i2p-meme-combat après relecture de cet article. Je vois quand même que c'est assez robuste :)
J'aimerais quand même bien un réseau de confiance perso (mais certains me diront ptet que ça c'est … inutile ?)
Si je comprend bien son fonctionnement , je préconise quand même d'utiliser SSL (https) lorsque c'est possible (même si je ne suis pas sûr que ça puisse empêcher les attaques Man-In-The-Middle - voir mon précédent shaarlien).
Personnellement, j'utilise "TOR in a box" : https://www.torproject.org/dist/torbrowser/tor-browser-2.3.25-8_en-US.exe (via PoGo)
Il fournit NoScript par défaut même s'il n'est pas activé par défaut (je vous le conseille vivement). (NoScript ne permet pas le filtrage par somme md5 des scripts ? MAIS C'EST NUL de pouvoir filtrer uniquement par domaine -.- surtout si il y a une attaque man-in-the-middle)
Il y a moyen de visionner des vidéos flash avec TOR même si cela est déconseillé. Si vous le faites veillez bien à installer BetterPrivacy en plus … ça reste pas génial.
Perso j'ai aussi installer flashblock (inutile dans ce cas je pense car flash requiert toujours un démarrage manuel comparable à celui demandé par flashblock en temps normal)
Pourquoi je suis passé à TOR : https://panopticlick.eff.org/ Être détectable de façon unique sur l'entièreté de leur base de données (plus de 3M) … ça fait mal.
Pour limiter les dégâts (mais c'est malheureusement pas suffisant), désactivez tous les plugins à la con qui servent à rien (dans Firefox : Tools > Add-ons > Plugins), perso je n'ai gardé que flash (avec flash block)(un des plus traître avec Java) et le plugin VLC.
Vous pouvez aussi passer en navigation privée (avec Firefox : File > New private windows, mais la fonctionnalité est disponible avec les autres navigateurs aussi) mais pour ma part ce qui me gêne le plus alors est de ne pas pouvoir restaurer ma session en cas de crash (vu le nombre d'onglet que j'ai d'ouvert (+ de 200), ça m'énerverait).
Donc TOR est, selon moi, l'idéal pour pas mal de choses. Ou plutôt … le moins pire :)
Je reste quand même avec Firefox ouvert d'un côté et Firefox+TOR de l'autre pour utiliser l'un plutôt que l'autre en fonction des circonstances.
EDIT: http://www.sebsauvage.net/rhaa/index.php?2010/09/06/06/42/30-freenet-tor-i2p-meme-combat après relecture de cet article. Je vois quand même que c'est assez robuste :)
J'aimerais quand même bien un réseau de confiance perso (mais certains me diront ptet que ça c'est … inutile ?)
Je me posais 2 petites question auxquelles personne ne m'a encore répondu :
(02:44:19) jeromej: Tiens par défaut TOR in a box n'est configuré pour être uniquement un client ? :o
(02:44:28) jeromej: je comprend pas les autres options par contre ...
(02:45:12) jeromej: quoique .. par contre je sais pas trop quoi choisir
(02:45:51) jeromej: non-exit relay, exit-relay ou "aider les utilisateurs censurés à accéder au réseau Tor"
Que choisir ?
______
(20:39:03) jeromej: quand on utilise SSL (https), ça chiffre avec la clé publique du site pour que l'information ne puisse pas être lue par d'autres, right ?
(20:39:45) jeromej: mais quid d'une attaque Man In The Middle ??? que je sache (mais je trompe ptet), le message en plus d'être chiffré pour le destinataire, n'est pas signé avec ma clée privée ?
(20:40:02) jeromej: donc il pourrait y avoir une subsitution des données sur leur trajet, non ?
(20:40:10) jeromej: (surtout dans le cas de TOR ?)
(02:44:19) jeromej: Tiens par défaut TOR in a box n'est configuré pour être uniquement un client ? :o
(02:44:28) jeromej: je comprend pas les autres options par contre ...
(02:45:12) jeromej: quoique .. par contre je sais pas trop quoi choisir
(02:45:51) jeromej: non-exit relay, exit-relay ou "aider les utilisateurs censurés à accéder au réseau Tor"
Que choisir ?
______
(20:39:03) jeromej: quand on utilise SSL (https), ça chiffre avec la clé publique du site pour que l'information ne puisse pas être lue par d'autres, right ?
(20:39:45) jeromej: mais quid d'une attaque Man In The Middle ??? que je sache (mais je trompe ptet), le message en plus d'être chiffré pour le destinataire, n'est pas signé avec ma clée privée ?
(20:40:02) jeromej: donc il pourrait y avoir une subsitution des données sur leur trajet, non ?
(20:40:10) jeromej: (surtout dans le cas de TOR ?)