Друзья, настало время поговорить о JavaScript'е!
Ходят разные слухи, например, о том, что использование JS на сайте небезопасно для клиента, позволяет его сиюминутно вычислить по АйПи и всё такое :).
Мы хотим развенчать этот миф, при этом честно рассказав о том, что JS может, а чего не может.
Что позволяет узнать о вас JavaScript?
JS позволяет узнать разрешение экрана, языковые настройки и системное время, а в некоторых случаях - получить расширенные данные о конфигурации системы.
В обычных браузерах (clear-net) JS позволяет собрать так называемый "отпечаток" (fingerprint) на основе данных о процессоре и видеокарте + языковые настройки и разрешение экрана и некоторым другим параметрам (timezone тот же).
Если с таким набором данных вы - единственный человек, то сверяя эти данные с отпечатками, которые собирают сайты, знающие вашу личность (ВК, ГосУслуги), есть теоретический шанс установить кто вы такой.
JS в Tor'е
Tor-браузер изначально создавался для анонимности.
Он не отдаёт большинство параметров, используемых для этого "отпечатка" (процессор и видео).
Он отдаёт разрешение экрана, но каждый раз при запуске слегка его меняет.
Доказано, что отпечаток в Торе не позволяет никого вычислить.
Это можно проверить самостоятельно с помощью сервисов вроде https://panopticlick.eff.org/
Подробное обсуждение JS происходило ещё в начале нашего пути на форуме RuTor, не можем не приложить ту оригинальную дискуссию.
Заключение на руторе от главного эксперта по безопасности:
Начало дискуссии на RuTor: http://rutordeepeib6lopqoor55gfbnvh2zbsyxqpv5hnjg2qcji2x7sookqd.onion/threads/novye-ploschadki-kak-vybrat-pljusy-i-minusy-chast-1-2.54773/post-1194785
Итог дискуссии на RuTor: http://rutordeepeib6lopqoor55gfbnvh2zbsyxqpv5hnjg2qcji2x7sookqd.onion/threads/novye-ploschadki-kak-vybrat-pljusy-i-minusy-chast-1-2.54773/post-1265096
Что с клиром?
Теоретически, клир позволяет получить указанные выше данные и собрать тот отпечаток, чтобы вас вычислить.
Это - одна из причин, почему людям, которые не хотят лишний раз думать о безопасности, лучше использовать Tor-браузер.
Конкретно мы на 3Ме ваши отпечатки не собираем и, конечно, никому не передаём.
Ваша безопасность и анонимность во многом - наш хлеб, ведь если вас всех посадят, у нас не будет ни магазинов, ни покупателей :).
Главное - не будет доверия, которое мы уже успели заслужить и которым очень дорожим.
Но не надо верить нам (или кому-то другому) на слово!
В вышесказанном можно убедиться, проверив скрипты, которые загружаются на любой странице.
Отдайте их любому знакомому js-программисту (а ещё лучше - изучите JS сами и сами проверьте).
Вы сможете убедиться, что там нет ничего "следящего", а только механика управления страницами и элементами на сайте (скрыть/показать информацию по клику, вывести уведомления, получить свежие чаты и уведомления и всё в таком духе).
Если говорить не только о 3Ме, но и других сайтах, то в целом рекомендации по анонимности будут звучать так:
- лучше использовать Тор-браузер, если есть возможность
- если тор не работает и надо использовать "клир", заходите в режиме Инкогнито и меняйте размер браузера
- в настройках браузера отключите все галочки по поводу передачи рекламных данных и отслеживания:
https://fingerprint.com/blog/disabling-javascript-wont-stop-fingerprinting/
https://browsertouse.com/blog/8346/stop-browser-fingerprinting-chrome-edge-firefox-brave/
Проверить уникальность отпечатка браузера в текущих настройках можно здесь:
https://coveryourtracks.eff.org/
Итоги
1. JS в Tor'е не позволяет вас вычислить при всём желании
2. С помощью JS в клире теоретически можно вас вычислить (но мы этим не занимаемся, и это можно проверить)
Как и всегда, будем рады, если вам есть чем дополнить эту информацию и вы это сделаете.
Спасибо!
Ходят разные слухи, например, о том, что использование JS на сайте небезопасно для клиента, позволяет его сиюминутно вычислить по АйПи и всё такое :).
Мы хотим развенчать этот миф, при этом честно рассказав о том, что JS может, а чего не может.
Что позволяет узнать о вас JavaScript?
JS позволяет узнать разрешение экрана, языковые настройки и системное время, а в некоторых случаях - получить расширенные данные о конфигурации системы.
В обычных браузерах (clear-net) JS позволяет собрать так называемый "отпечаток" (fingerprint) на основе данных о процессоре и видеокарте + языковые настройки и разрешение экрана и некоторым другим параметрам (timezone тот же).
Если с таким набором данных вы - единственный человек, то сверяя эти данные с отпечатками, которые собирают сайты, знающие вашу личность (ВК, ГосУслуги), есть теоретический шанс установить кто вы такой.
JS в Tor'е
Tor-браузер изначально создавался для анонимности.
Он не отдаёт большинство параметров, используемых для этого "отпечатка" (процессор и видео).
Он отдаёт разрешение экрана, но каждый раз при запуске слегка его меняет.
Доказано, что отпечаток в Торе не позволяет никого вычислить.
Это можно проверить самостоятельно с помощью сервисов вроде https://panopticlick.eff.org/
Подробное обсуждение JS происходило ещё в начале нашего пути на форуме RuTor, не можем не приложить ту оригинальную дискуссию.
Заключение на руторе от главного эксперта по безопасности:
@greenwsz Я исследовал дополнительно вопрос и могу скзать, что вы меня убедили. Я этому даже рад. Спасибо за такую результативную дискуссию.
Резюмирую для всех:
Большая часть способностей js идентифицировать не сработает при условии использования Tor в tails, т.к. они завязаны на браузер и настройки системы. При переходе в винду ничего из этого не является перманентным.
Я перечислил значения, которые могут быть постоянными независимо от браузера и ОС. Это видеокарта, класс процессора, количесво ядер процессора, аудио fingerprint, размер оперативки.
Эти параметры теоретически в совокупности могут позволить идентифицировать пользователя, но по факту, например, тот же сервис http://panopticlick.eff.org/ не смог определить значения этих параметров, видимо потому что Тор их не отдаёт. Я проводил тест в режиме Тор Safer (js включен для всех https сайтов).
Однако, учитывая, что куки и некоторые опознавательные вещи в Торе включены для функциональности и слияния с толпой, то нужно учитывать, что нельзя логиниться в одном окне на разных площадках. Например на маркетплейсе и на излюбленном форуме. Это изи пизи позволит сопоставить один аккаунт с другим. Для каждого логина нужно использовать новую сессию (кнопка метла перезагрузит браузер, удалятся кукисы и всякие сторадж кукисы, сменится марштрут вместе с конечным ip)
Почему же некоторые darkweb сайты и маркетплейсы стремятся оптимизировать сайт для работы с выключенным js. Почему же сама Сайт на своём сайте в разделе безопасность писала, что полностью оптимизирована без js и рекомендует js выключать? Почему гидра работала без js для покупателей?
Единственное, что я смог найти это то, что js можно использовать как один из доступных фронтов атаки чтобы совершить эксплоит при условии что будет найдена уязвимость нулевого дня и уже был подобный прецедент. Но уязвимость нулевого дня может быть и в браузере и в Tails. Что какбы намекает, что единственное, что мы можем и должны делать - использовать последние версии Тора и Tails.
https://security.stackexchange.com/questions/124639/how-trivial-is-identifying-a-tor-user-with-javascript-enabled-allow-scrips-glo
https://security.stackexchange.com/questions/95046/why-disable-javascript-in-tor
https://www.reddit.com/r/TOR/comments/lnoqcw/can_ip_be_identified_in_tor_through_javascript/
https://www.reddit.com/r/TOR/comments/3uq1fg/enabling_javascript_in_tor/
Начало дискуссии на RuTor: http://rutordeepeib6lopqoor55gfbnvh2zbsyxqpv5hnjg2qcji2x7sookqd.onion/threads/novye-ploschadki-kak-vybrat-pljusy-i-minusy-chast-1-2.54773/post-1194785
Итог дискуссии на RuTor: http://rutordeepeib6lopqoor55gfbnvh2zbsyxqpv5hnjg2qcji2x7sookqd.onion/threads/novye-ploschadki-kak-vybrat-pljusy-i-minusy-chast-1-2.54773/post-1265096
Что с клиром?
Теоретически, клир позволяет получить указанные выше данные и собрать тот отпечаток, чтобы вас вычислить.
Это - одна из причин, почему людям, которые не хотят лишний раз думать о безопасности, лучше использовать Tor-браузер.
Конкретно мы на 3Ме ваши отпечатки не собираем и, конечно, никому не передаём.
Ваша безопасность и анонимность во многом - наш хлеб, ведь если вас всех посадят, у нас не будет ни магазинов, ни покупателей :).
Главное - не будет доверия, которое мы уже успели заслужить и которым очень дорожим.
Но не надо верить нам (или кому-то другому) на слово!
В вышесказанном можно убедиться, проверив скрипты, которые загружаются на любой странице.
Отдайте их любому знакомому js-программисту (а ещё лучше - изучите JS сами и сами проверьте).
Вы сможете убедиться, что там нет ничего "следящего", а только механика управления страницами и элементами на сайте (скрыть/показать информацию по клику, вывести уведомления, получить свежие чаты и уведомления и всё в таком духе).
Если говорить не только о 3Ме, но и других сайтах, то в целом рекомендации по анонимности будут звучать так:
- лучше использовать Тор-браузер, если есть возможность
- если тор не работает и надо использовать "клир", заходите в режиме Инкогнито и меняйте размер браузера
- в настройках браузера отключите все галочки по поводу передачи рекламных данных и отслеживания:
https://fingerprint.com/blog/disabling-javascript-wont-stop-fingerprinting/
https://browsertouse.com/blog/8346/stop-browser-fingerprinting-chrome-edge-firefox-brave/
Проверить уникальность отпечатка браузера в текущих настройках можно здесь:
https://coveryourtracks.eff.org/
Итоги
1. JS в Tor'е не позволяет вас вычислить при всём желании
2. С помощью JS в клире теоретически можно вас вычислить (но мы этим не занимаемся, и это можно проверить)
Как и всегда, будем рады, если вам есть чем дополнить эту информацию и вы это сделаете.
Спасибо!
Привет. Наткнувшись на эту тему, я был приятно удивлён). Я, конечно, польщён формулировкой "главный эксперт по безопасности", но хочу прояснить, что я не эксперт, а простой любитель энтузиаст. Лишь увлекаюсь анонимностью, шифрованием, криптой и смежными вещами. Свои выводы в той дискуссии я сделал и озвучил, но они были не стопроцентные. Тем не менее выводы не изменились. В данном вопросе полагаюсь на знания Админа и других авторитетных людей.
Домен у рутора с тех пор поменялся чуть ли не дважды. Предлагаю обновить ссылки для удобства и красоты.
Читая итоги, мне кажется как-то смазано получилось в месте про безопасности от js на других именно зловредных сайтах. Вместо рекомендации сидеть в торе, хотелось бы услышать, есть ли от зловредных сайтов какие-то потенциальные векторы атаки через JS. Не могут же они не пытаться собрать хотябы урывки данных.
Домен у рутора с тех пор поменялся чуть ли не дважды. Предлагаю обновить ссылки для удобства и красоты.
Читая итоги, мне кажется как-то смазано получилось в месте про безопасности от js на других именно зловредных сайтах. Вместо рекомендации сидеть в торе, хотелось бы услышать, есть ли от зловредных сайтов какие-то потенциальные векторы атаки через JS. Не могут же они не пытаться собрать хотябы урывки данных.
Вы не вошли в систему