(лапша ушная, недорого) (stanislav_v_l) wrote in 8nity,
(лапша ушная, недорого)
stanislav_v_l
8nity

Categories:

Бублики для самых маленьких :)

Псто для гуманитариев - "на пальцАх" что такое tor, как его готовить и в чем его вкус.
ИТшники могут смело пропустить, или делать свои замечания-дополнения.

Disclaimer1: Лезем в педивикию и читаем КТО автор сего кулинарного изделия. Скабрезно ржем :)
На самом деле это почти ничего не значит. Но - все-таки знать это надо.
Disclaimer2: На самом деле там все достаточно просто :) Кажущаяся сложность и обилие мануалов вызваны тем что существует множество вариантов установки и использования. Здесь рассказываю ПРОСТЕЙШИЙ вариант (отталкиваясь от которого, можно дальше углублять свои знания и умения) Но следует иметь в виду: это простейший для меня! Для кого-то "простейшим" может оказаться что-то другое...
(К тому же, пишу по памяти. С тех пор как я это делал, что-то могло измениться)

1. Ставим
(Подразумевается античеловеческая операционка Виндоузе; пользователи других систем разберутся сами)
Идем на сайт проекта и скачиваем оттуда "expert bundle" !
(Я предупреждал: на МОЙ личный вкус ЭТОТ вариант - простейший. О других вариантах будет ниже)
Разворачиваем архив. Получаем каталог C:\tor , в котором валяется все что к нему относится.
Заходим в этот каталог. Конфигурационный файл для простейшего варианта править не требуется - и так будет работать (просто запомним что он там есть - на досуге можно над ним помедитировать)
Запускаем файл tor.exe .
По экрану бежит множество строчек - он чего-то там делает. Через 1-2 минуты строчки остановятся и мы увидим сообщение что tor работает.
(Если такого сообщения не видим - "что-то пошло не так" - Ваш случай не относится к простейшим, надо разбираться...)

* С этого момента Ваш компьютер стал "узлом сети tor" - то есть, через Ваш компьютер может проходить транзитный траффик других пользователей сети. Вам это может быть неприятно если у Вас тариф с ограниченным объемом траффика. Но Вы ведь тоже передаете свои данные через компьютеры других пользователй ? - так что все честно.

* Для Ваших личных нужд на компьютере возник так называемый "socks-proxy" - tcp-порт 9050, доступный только с этого же самого компьютера. ЗАПОМИНАЕМ это - пригодится в будущем.

Теперь запускаем любимый броузер (предположим для простоты что это firefox).
Открываем настройки - соединение с интернет - настройки proxy.
Запоминаем (записываем) что там установлено - чтоб потом восстановить при необходимости.
Правим: тип прокси - SOCKS5, адрес - 127.0.0.1, порт - 9050. Отмечаем "удаленный dns".
Закрываем. На этом настройка закончена.

Вводим в адресной строке какой-нибудь заблокированный сайт - флибуста, рутрекер ... Убеждаемся, что сайт открывается.
ВСЁ! Можно наслаждаться свободой.

Насладившись свободой, возвращем настройки броузера в исходный вид и останавливаем tor - для этого просто жмем ctrl-C в терминале где он запущен.

Какую радость мы с этого ПОЛУЧИМ ?
а) Обход блокировок РКН
б) Доступ к "скрытым" сайтам в домене .onion
Чего мы НЕ получим ?
Не получим - полной анонимности и личной безопасности. Если этот вопрос важен - нужно делать "полную установку" с "tor-броузером" (см. ниже)
Что мы ПОТЕРЯЕМ ?
а) Скорость - заметно ниже - поскольку траффик идет не "напрямую" а "зигзагом", с запутыванием следов :) Это плата за свободу - придется смириться.
б) Риск "кражи" Ваших данных, особенно паролей! Поскольку стать "узлом сети tor" может кто угодно (как Вы сами), там нередко попадаются и разного рода нехорошие люди. Если нехороший человек становится "выходным узлом" Вашего соединения - возникает классическая ситуация "man in the middle" - он может читать Ваши данные и подделывать их. Поэтому - ВНИМАНИЕ! - если при работе через tor Вы видите сообщение броузера о недействительном сертификате - это ПОЧТИ НАВЕРНЯКА говорит о попытке перехвата. (Подробней ниже)
в) "Ваш" IP на "целевом сайте" будет меняться случайным образом (по сути - это IP "выходного узла") Иногда это может вызвать какие-то легкие проблемы.
г) Гугл может отказываться принимать соединения через tor

Вообще, вариант работы когда ВСЕ соединения идут через tor - в общем, не очень хорош. Обычно, имеется ограниченное число сайтов, для доступа к которым нужен tor, а ко всем остальным можно и нужно ходить "по старинке" - напрямую. Но каждый раз менять настройки броузера - геморойно.
Есть 2 способа решить проблему:
а) Нарисовать для своего броузера файл "автоматической конфигурации прокси" (ниже)
б) Сделать "полную установку" и пользоваться ДВУМЯ броузерами

1а. "Полная установка"
Сразу предупреждаю: я сам ее НЕ ПРОБОВАЛ - излагаю теоретически :) С другой стороны, именно этот вариант разработчиком позиционируется как "для чайников", т.е. проблем там быть не должно.

От вышеописанного варианта "полная установка" отличается тем, что вместе с "основой" сети tor клиенту устанавливается так называемый "tor-броузер". Он представляет из себя почти обычный firefox, но с легкими модификациями - он "заточен" именно под работу через tor. То есть - он САМ запускает и останавливает tor.exe (не нужно это делать руками), в нем не нужно править "настройки прокси", он сам заботится о cookies (через которые можно "отследить" Вас в сети).

Соответственно, "tor-броузер" Вы используете для заблокированных сайтов (или для просмотра порнухи - чтоб Вас не отследили), а "обычный" броузер - для всех остальных.

Моя нелюбовь к этому варианту - просто не люблю разводить кучу броузеров :) Если Вас это не напрягает - welcome, вариант для Вас...

2. Теория
"Без теории нам смерть" (С) :)
В принципе, пользоваться tor'ом можно и без знания теории... Но коль скоро Вы озаботились проблемой безопасности и блокировок - все-таки лучше теорию понимать - чтоб знать ГДЕ и КАК Вам могут устроить бяку ...
Для полного понимания неплохо бы знать основы функционирования tcp/ip. Но я постараюсь изложить без упоминания деталей. Итак ...

В "простейшем" варианте броузер клиента устанавливает соединение "напрямую" с "целевым сайтом". "Броузер" - это программа, "сайт" - другая программа. Первая программа готовит строчку данных "запрос", приписывает к ней 2 адреса - "отправитель" и "получатель" и швыряет в сеть. Пролетев через десяток маршрутизаторов, она достигает получателя. Вторая программа хватает ее, прежевывает, формирует строчку "ответ", адрес отправителя, адрес получателя - все точно так же, только наоборот :), швыряет в сеть. Броузер получает ответ, расшифровывает и рисует на экране жопу бабочку. Так оно и работает.

Тонкость: любой из десятка маршрутизаторов, через которые пролетают наши данные может эти данные читать и архивировать. А может и подменить на другие. Это называется "атака man in the middle" С НЕЗАШИФРОВАННЫМИ данными (протокол http) это можно делать беспрепятственно.
Чтобы усложнить жизнь нехорошим людям, данные можно шифровать - тогда к названию протокола приписывается буковка "s" - https . Тогда "человек посередине" прочитать эти данные не может. Но он может (сцуко) просто отказаться их передавать - "а этот сайт у нас в списке запрещенных!"

Кроме того, есть "уязвимость" в самом начале процедуры: прежде чем начать обмениваться зашифрованными данными, программы должны обменяться ключами шифрования. И вот в этот самый момент "человек посередине" может заорать "это Я, Я - получатель, давай мне сюда свой ключ шифрования, держи мой!" Доверчивый клиент обменяется с ним ключами, ну и - "лох - это судьба"... Чтобы предотвратить такую возможность, существуют "сертификаты безопасности" и хитрая процедура их проверки, позволяющая убедиться: "на том конце провода" - именно тот собеседник, с которым Вы желаете разговаривать, а не злоумышленник, подделавший голос.

Приходилось видеть на экране надписи про "самоподписанный сертификат" или "сертификат не может быть проверен" ? Как на них реагировать ?
"Самоподписанный сертификат" - это может означать просто что хозяин сайта пожалел денег (за "настоящий" сертификат нужно платить) Но ТОЧНО ТАК ЖЕ может означать и перехват данных.
Как реагировать ?
Если Вы смотрите котиков или читаете анекдоты - плевать, пускай себе перехватывают до посинения. Но если Вы собираетесь ввести пароль от интернет-банка - следует тормознуть. У банков сертификаты безопасности исключительно правильные, "самоподписанного" сертификата у банка быть не может в принципе. Т.е., это гарантия - что кто-то хочет поживиться за Ваш счет.
А если это пароль от почты ? Скорей всего - то же самое ...

Теперь: как работает tor ?
tor выстраивает между броузером и сайтом цепочку из трех узлов tor
(Под "узлом tor" здесь понимаем работающую ПРОГРАММУ, а не компьютер - это важно)
Теперь полная цепочка выглядит так:
броузер - узел_tor1 - узел_tor2 - узел_tor3 - сайт
Причем, данные между узлами tor шифруются средствами tor. То есть, в этих точках перехват данных невозможен. Злобный провайдер может лишь порвать цепочку в этом месте, но тогда tor выстроит другую цепочку своими средствами.
Невозможен перехват и на узле 2 - поскольку узел 2 НЕ ИМЕЕТ нерасшифрованных данных, не знает ни отправителя ни получателя.
Перехват возможен только "на входе" в цепочку и "на выходе".
Но "на входе" - это между броузером и "узлом 1" А в нашем варианте установки "узел 1" расположен на том же физическом компьютере что и броузер. Т.е. никакие "постороние дяди" сюда залезть не могут (предполагаем что пользователь - не полный дурак, и рассадника вирусов у себя не держит)
(Теоретически, "узел 1" мы можем разместить на ДРУГОМ компьютере, не там где пользуемся броузером. Но это рекомендуется делать только в локальной сети, в которой посторонних нет! Но это уже "продвинутый" уровень - выходит за рамки данного обзора)
Остается одно уязвимое место: "выходной узел" (узел 3) и "линия" между ним и сайтом.
Причем, под "линией" здесь понимаем множество линий и маршрутизаторов, принадлежащих мелким и крупным провайдерам. То есть "на линии" перехватом могут заниматься а) царевы слуги, б) недобросовестные админы, в) тупо - криминалитет. В точности как при "прямом" соединении без всякого tor'а.
А вот "выходной узел" - это особстатья. Стать "выходным узлом" может ЛЮБОЙ - для этого требуется в конфиге своего tor'а прописать разрешение быть "выходным узлом" - и все!
"Простым людям" это делать не рекомендуется. Если Вы - "выходной узел", то через Ваш компьютер могут ломать банки, покупать дурь, спамить и делать много других гадостей, а в логах "жертвы" останется ip-адрес ВАШЕГО компьютера, и полиция придет К ВАМ! Сумеете ли Вы отбрехаться - тот еще вопрос... Короче - это серьезное решение, с шармачка его не принимают. Но если Вы стали "выходным узлом" - то получаете неограниченные возможности по перехвату траффика всех пользователей, чьи соединения "вышли" через Ваш компьютер. И юных пионеров, занимающихся такого рода "рыбалкой" достаточно много - БОЛЬШЕ чем недобросовестных админов провайдера.
Поэтому, попыток перехвата Ваших данных при работе через tor будет БОЛЬШЕ чем "напрямую"!
Насколько это страшно ?
а) http (без шифрования) - просто "читается" без всяких ухищрений. Это как почтовая открытка без конверта - ее не читают только те кому лень или неинтересно.
б) https вас защищает - если все в порядке с сертификатами. Если же видите какое-то ругательство на сертификат сайта - сделайте перерыв на кофе. Когда Вы вернетесь через 15 минут - при повторной попытке tor скороей всего выстроит ДРУГУЮ цепочку узлов, и ЭТОТ пионер-рыболов окажется в стороне от нее. Правда, в новой цепочке может оказаться другой :) Ну, тогда почитайте вконтакт :) Все-таки, альтруистов, держащих выходные узлы больше чем "рыболовов" - в конце концов Вам повезет.
в) Вы идете на сайт .onion . Этот домен существует только внутри сети tor, в "общем" интернете его нет. Специфика такого сайта - он расположен на ТОМ ЖЕ компьютере, что и узел tor, являющийся "выходным" при доступе к этому сайту. То есть, "проблемы выходного узла" для него не существует. На такой сайт можно ходить даже по протоколу http - данные защищены на всем протяжении шифрованием tor.

И еще. К нам это ПОКА не относится. (Но неизвестно сколько времени продлится "пока", поэтому, на всякий случай следует упомянуть)
Есть страны, в которых провайдеры "давят" работу tor - то есть, простому пользователю на своей машине узел tor не поднять. Верней - поднять-то никто не помешает, только работать он не будет...
Ну, на каждую хитрую ж есть х с винтом. На этот случай - можно воспользоваться "чужим" узлом tor, хозяин которого разрешил такие подключения. (Технические детали опустим, чтоб не раздувать. Пока просто запомним что такая возможность существует) Но в этом случае возникет "проблема входного узла" - перехват данных становится возможен на самом этом узле и на пути до него. Т.е. - все что говорилось выше про протоколы http / https и сертификаты безопасности.

О безопасности - ВСЁ :)

Теперь, для общего развития - "что такое proxy", что значат эти настройки в броузере.
По умолчанию, броузер, отрабатывая запрос пользователя, соединяется с сайтом "напрямую". Но можно указать броузеру: "напрямую не соединяйся, передавай все данные через посредника такого-то" Proxy - это и есть такой посредник. Для чего он нужен ? Причин может быть тыща. Например - резать рекламные баннеры, ограничивать доступ к порносайтам, кэшировать "тяжелые" картинки чтоб не гонять их через сеть много раз. Или - как в случае с tor - выполнить какую-то "особую" маршрутизацию, отличную от "умолчальной" в данной сети. То есть, этот посредник умеет делать с передаваемыми данными какую-то хитрую обработку, которую броузер сам делать не умеет - ибо разработчики посчитали это излишним.
Для того чтобы обратиться к proxy, нужно знать его "ip-адрес" и "порт".
ip-адрес - это, грубо говоря (!), адрес компьютера в сети. Особый адрес 127.0.0.1 означает для компьютера "я сам" - то есть, гнать данные по проводам не нужно,программа-получатель данных работает на этом же компьютере. Иные адреса - это другие компьютеры.
"Портов" на компьютере 65000, некоторые из них традиционно "закреплены" за определенными программами. Для tor это - 9050 .

Допустим, мы набрали в адресной строке броузера "http://ya.ru"
Если в "настройках прокси" отмечен пунт "без прокси", то броузер запрашивает в сети адрес сайта ya.ru, затем по этому адресу отправляет запрос.
Если же мы изменим "настройки прокси" на "SOCKS5", 127.0.0.1, 9050 , то броузер соединяется с программой tor, работающей на этом же компьютере и отдает запрос ей, с припиской сверху "для сайта ya.ru". С этого момента уже у tor'а болит голова КАК передать этот запрос указанному сайту, минуя происки всяких недругов.

Единственное - такая настройка несколько негибкая: либо все через прокси, либо все напрямую. А можно ли сделать так чтобы НЕКОТОРЫЕ сайты по списку - через прокси ? Можно: такая возможность называется "proxy autoconfiguration". Рисуем файл "wpad.pac" (или "wpad.dat" ? не помню точно - для каких-то броузеров имя файла может иметь значение) с примерно таким содержимым:
---начало---
function FindProxyForURL(url, host) {

if ( (host == "rutracker.org")
|| dnsDomainIs(host, ".onion")
|| shExpMatch(host, "*flibusta.*")
)
return "SOCKS 127.0.0.1:9050";
return "DIRECT";
}
---конец---
Для верности я бы поместил его в корень диска (хотя, теоретически, это не обязательно).
Полный путь к нему указать в строчке "файл автоматической настройки прокси"
(Возможно придется поиграть с вариантом написанием пути: С:\wpad.pac , C:/wpad.pac , file://C:/wpad.pac ... бывают с этим глюки :) Деталей не помню за давностью )
Проверяем - рутрекер, флибуста и все *.onion должны послушно открывать через tor, а все остальное - напрямую.

ВСЁ! Жду аплодисментов :)

Subscribe

  • О переходе к капитализму

    Сверхкратко. Как уже показано в предыдущих постах, эксплуататорское общество возникает в ответ на появление среды выживания - из-за роста численности…

  • Навязываемая сейчас демократия – это власть богатых

    Сейчас многие надеются, что народ, увидевший проблемы в стране, консолидируется против коррупции и проголосует против одиозных личностей власти,…

  • Источник власти

    "Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ". (п. 1 ст. 3 Конституции РФ)…

promo 8nity december 7, 11:30 134
Buy for 10 tokens
Продолжу. Как же конкретно выглядит отмирание государства (замораживание классовых функций)? То есть, как мы выяснили, замена его на другую, общественную форму управления, НЕ-государство? Что вообще такое Диктатура Пролетариата (ДП)? Мы легко можем различить классовое государство и бесклассовое…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

  • 0 comments