Je bezpečné poslat do mailu nebo na fórum přílohu přes Tor Browser?

[torzacatecnik]

Zdravim
Kdyz pouzivam prohlizec tor browser pro webmail a forum (jine forum nez zde na rootu), je bezpecne poslat mailem prilohu, tak, ze neuvidi, kde se prave nachazim (tj. s uploadem souboru do fora a nebo jako priloha do mailu neproklouzne moje prava IP) ?

Pro psani prispevku, nebo psani mailu tor browser pouzivam uz dyl. Smula je, ze webmail chce casto JS a neweboveho klienta si nastavit prez tor neumin. Stejne tak u fora to jinak nez prez prohlizec nevim jak.

Ucty mam jiz nekolik let pouzivane a overene (nepotrebuji zakladat nove). Nekdy je pouzivam prez tor,nekdy ne (podle toho, jestli chci, aby bylo mozne najit, kde obvykle jsem). JS pouzivam jen u webmailu obvykle. I kdyz nektera fora bez JS je taky problem.

[Reklama]

[Franta <xkucf03/>]

Pokud tomu Tor browseru věříš např. pro vkládání komentářů, tak mu můžeš věřit i pro vkládání souborů – obojí bývá HTTP POST.

Co se týče e-mailového klienta: Tor funguje jako SOCKS proxy – takže hledej v nastavení poštovního klienta tohle.

A u těch souborů si dej v první řadě pozor na různá metadata – může tam být uložený autor – tvoje uživatelské jméno.

[JardaP .]

Kdyz vam kvuli webmailu bezi JS, tak NSA, Mossad, KGB, jestirci, vcelari i sklolaminati muzou zjistit, odkud se pripojujete - vytlucou to z providera mailu. Problem se tedy redukuje na to, jak moc duverujete providerovi mailu a jeho odolnosti proti vyslechu francouzakem.

[torzacatecnik]

Franta

Diky, http post by mel byt bezpecny. Tor browseru se snad v ramci beznych mezi verit da ohledne skryti cesty mezi mnou a strankou.

To ze v souborech byvaji metadata, to hlavne u office, pdf pravda (hlavne MS office tam cpe jmeno a prijmeni, ale da se to editovat. LO jsou lepsi v tomto). Nebo GPS u fotky. Neni ale dulezite skryt kdo jsem, pouzivane ucty jsou state stejne a dost lidi o nich vi. Jde o to skryt kde jsem (+ zaznamenavani polohy v prubehu casu).

JS je vzdy riziko, otazkou jak velke je to riziko u webmailu (napr. seznam, gmail, nebo dalsi).  Je v tor browser "security settings", kdyz dam nejvyssi, tak nektere zobrazeni stranek neni korektni, vetsinou ale vse funguje dobre. Newebovy klient zkusim nastavit, mel by jsi na neweb. klienta nejake doporuceni ?

JardaP
Moc to hulis, nebo mas prilis kvalitni material. Precti si ten dotaz znova. Cilem je prave, aby webserver nevedel, odkud se prihlasuji (a aby IP v hlavicce odeslaneho mailu nebyla moje IP samozrejme, nektere webmaily to tam  cpou).

[JardaP .]

Cilem je prave, aby webserver nevedel, odkud se prihlasuji (a aby IP v hlavicce odeslaneho mailu nebyla moje IP samozrejme, nektere webmaily to tam  cpou).

A prave JS jim umoznuje tvoji adresu zjistit a zalogovat. Tu opravdovou, ne tu z TORu.

[Reklama]

[Filip Jirsák]

A prave JS jim umoznuje tvoji adresu zjistit

Jak?

[JardaP .]

A prave JS jim umoznuje tvoji adresu zjistit

Jak?

Napriklad skrz deravy browser. Browsery jsou porad derave.

https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

[torzacatecnik]

A prave JS jim umoznuje tvoji adresu zjistit

Jak?

Napriklad skrz deravy browser. Browsery jsou porad derave.

https://lists.torproject.org/pipermail/tor-talk/2016-November/042639.html

JS asi i bude bezpecnostni problem vzdy (a taky zrout systemovych prostredku). I tor browser muze mit nejakou bezpecnostni diru, kdy JS odhali skutecnou IP.

JS vyuzivajici deravej browser by se mel vyskytovat snad jen na nekterych webech, ne moc casto ? Predpokladam, ze se bude jednat o pochybne weby a nekde i bude jejich seznam (kde nebudou vsechny, nejspis ani pulka). Nebo se skutecne tako dira v browseru vyuziva na kazdym druhym beznym webu ? To snad ne.

Tor browser ma 3 urovne bezpecnosti a podle toho blokuje urcite casti (a stranka se pak nemusi dobre zobrazit). Prakticky vzdy se da pracovat s nejvyssim stupnem, JS ale u webmailu a nekdy i u fora povolit musim.

[j]

Franta

Diky, http post by mel byt bezpecny. Tor browseru se snad v ramci beznych mezi verit da ohledne skryti cesty mezi mnou a strankou.
...

Prave ze neda, coz kdybys hledal, tak najdes. Ja uz zminil JardaP, pokud mas zapnutej js, tak na tebe browser vykeca naprosto cokoli. A nemusi bejt ani deravej. http://net.ipcalf.com/ vyzkousej si to ... vykeca to na tebe i privatni IP za NATem.

[Filip Jirsák]

Napriklad skrz deravy browser. Browsery jsou porad derave.

Takže to neumožňuje JavaScript ale děravý prohlížeč. Přičemž ta díra může být pokaždé v jiné komponentě.

[Quantas]

Pozor, anonymizovat newebovy klient neni trivialni a rozhodne nestaci nastavit sock proxy. Extension pro Thunderbird je ve vyvoji: https://trac.torproject.org/projects/tor/wiki/torbirdy

[JardaP .]

Takže to neumožňuje JavaScript ale děravý prohlížeč. Přičemž ta díra může být pokaždé v jiné komponentě.

Mozna jste si jiz vsiml, ze prohlizece a JS jsou jaksi baleny dohromady, neprodava se to v zelezarstvi jako oddelene komponenty. Takze JS vyuzije diry v prohlizeci a nabonzuje vas. A ta dira v prohlizeci muze s klidem byt take dirou v implementaci JS, cimz se to stava jeste zabavnejsim. A zabavnejsi je to take tim, ze kdyz nekdo pouziva TOR, tak utocnij vi celkem spolehlive, proti jakemu prohlizeci se ma zamerit a nemusi delat milion hokus pokusu. A v soucasne dobe vy na vas pomoci JS mohl i upeci nejakou chytristiku s vyuzitim procesoru Intel.

Ale jinak mate pravdu, je to skoro stejne, jako kdybyste mel autonehodu s Jaguarem, ktera ve skutecnosti byla zapricinena explozi defektni pneumatiky od vyrobce, kteru s Jaguarem nema nic spolecneho, akorat tedy ze JS engine zde dodava rovnez Moz://a.

[Filip Jirsák]

Mozna jste si jiz vsiml, ze prohlizece a JS jsou jaksi baleny dohromady, neprodava se to v zelezarstvi jako oddelene komponenty. Takze JS vyuzije diry v prohlizeci a nabonzuje vas. A ta dira v prohlizeci muze s klidem byt take dirou v implementaci JS, cimz se to stava jeste zabavnejsim. A zabavnejsi je to take tim, ze kdyz nekdo pouziva TOR, tak utocnij vi celkem spolehlive, proti jakemu prohlizeci se ma zamerit a nemusi delat milion hokus pokusu. A v soucasne dobe vy na vas pomoci JS mohl i upeci nejakou chytristiku s vyuzitim procesoru Intel.

Ale jinak mate pravdu, je to skoro stejne, jako kdybyste mel autonehodu s Jaguarem, ktera ve skutecnosti byla zapricinena explozi defektni pneumatiky od vyrobce, kteru s Jaguarem nema nic spolecneho, akorat tedy ze JS engine zde dodava rovnez Moz://a.

Podstatné je to, že ta chyba může být v kterékoli jiné komponentě prohlížeče – v HTML parseru, v práci s cookies, v zobrazovači obrázků. Takže na té stránce nemusí být žádný JavaScript, v prohlížeči ho můžete mít vypnutý, a stejně vás ta chyba postihne.

[JardaP .]

Podstatné je to, že ta chyba může být v kterékoli jiné komponentě prohlížeče – v HTML parseru, v práci s cookies, v zobrazovači obrázků. Takže na té stránce nemusí být žádný JavaScript, v prohlížeči ho můžete mít vypnutý, a stejně vás ta chyba postihne.

Jo, ale z nejakeho zahadneho duvodu se zda, ze prevazuje tendence k takovym utokum pouzivat JS.

[Phd]

Zdravim
Kdyz pouzivam prohlizec tor browser pro webmail a forum (jine forum nez zde na rootu), je bezpecne poslat mailem prilohu, tak, ze neuvidi, kde se prave nachazim (tj. s uploadem souboru do fora a nebo jako priloha do mailu neproklouzne moje prava IP) ?

Pro psani prispevku, nebo psani mailu tor browser pouzivam uz dyl. Smula je, ze webmail chce casto JS a neweboveho klienta si nastavit prez tor neumin. Stejne tak u fora to jinak nez prez prohlizec nevim jak.
To ze jsi paranoidní neznamená že po tobě nejdou. Nic osobního jen citát

Ucty mam jiz nekolik let pouzivane a overene (nepotrebuji zakladat nove). Nekdy je pouzivam prez tor,nekdy ne (podle toho, jestli chci, aby bylo mozne najit, kde obvykle jsem). JS pouzivam jen u webmailu obvykle. I kdyz nektera fora bez JS je taky problem.