今天的 Tetralet 又在唧唧喳喳了



« 六月 2017 »
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    






 

再談 Tor 的安全性

Tetralet | 04 十二月, 2007 00:41
我們在前文中介紹過,Tor 是一個用來在 Internet 上隱匿行蹤及突破防火牆的利器。但本篇再老調重彈一次 Tor 的安全問題。

Tor 的優勢

Tor 昔日是由美國軍方主導的著名自由軟體專案。人們可以利用 Tor 來在 Internet 上隱匿自已的 IP、突破設定嚴苛的防火牆、及有效避免位於區域網路的嗅探器 (Sniffer)

就像一些極受歡迎的軟體,Tor 也有 Portable 版本。建議您可以和 Portable FirefoxPortable Pidgin 等等軟體搭配使用,可以有效增進您在 Internet 的私密性。

Tor 只能隱匿使用者的 IP

也許是 Tor 的名聲過於響亮,導致人們對於 Tor 有著不切實際的誤解。Tor 能保障的,就只有隱匿使用者的 IP。更正確的說,被記錄到的 IP 是 Tor Server 的,而真正的 Tor Client 的 IP 則難以被記錄到。

但事實上,使用其它的網頁技巧來得知使用者的 IP 其實並不是難事。建議在使用 Tor 時能關閉 JavaScript 及 Cookie 等等可能會洩露使用者 IP 的網頁元件,並確認不會產生 DNS Leaks 問題。

Tor 不能加密通訊內容

就如上文所說的,Tor 能保障的,就只有隱匿使用者的 IP,但它並不會替通訊內容加密。更正確的說,Tor 在傳輸的過程中的確是加了密,以便能突破那些設定嚴苛的防火牆;但這些內容在離開 Tor 的最終節點 (Exit Node) 時,這些資料將會被還原,並傳送到目的地去。這時要竊取這些資料就易如反掌了。

比如說,您利用 Tor 來收發電子郵件。Tor 會將您的帳號密碼加密後,透過 Tor 匿名網路傳送。但由於那台電子郵件伺服器十之八九無法支援 Tor 的加密方式,所以這個帳號密碼在被送出 Tor 匿名網路之時,它必須先被解密,才能送往電子郵件伺服器 - 而這時正是竊取您的帳號密碼的最佳時機。

為了避免這種情況發生,請將 Tor 搭配 SSL 等加密技術使用。否則,請勿在 Tor 上傳遞帳號密碼等私密資料。。

Tor 不能 100% 保証隱秘性

就如上文所說的,Tor 的資料在傳輸過程中可能被竊取。您不該利用 Tor 來傳遞帳號密碼及其它的私密資料,在使用 Tor 時,若有必要請搭配 SSL 等加密技術。

但是,請別忘了,您的電子郵件伺服器管理者也可能不懷好心。比如說,若您在網路上購買東西,您可能會在信件裡寫下您的姓名地址電話等資料,那麼這些資料也有可能被記錄並交付給其它人。這並非危言聳聽。Yahoo 曾被指 控因提供電子郵件的資料給中國官方而導致中國新聞記者師濤被捕並被判 10 年徒刑。這可是血的教訓!

如果您擔心的話,為了避免上述情況發生,請勿在 Internet 上透漏太多的私人資訊。

Tor 的 Exit Node 大漏洞

就如上文所說,Tor 的資料會在 Exit Node 被還原。也就是說,在 Exit Node 上安裝個 Sniffer 軟體的話,就可以輕易得竊取這些資料。

以前有辨法竊取這些資料的應該是 ISP 的機房,但現在只要稍具電腦知識的人都可以架個 Tor Server 的 Exit Node 來竊取 Tor User 的資料。但很不幸的,Tor User 多是因為某些原因而才不得不使用 Tor 來連上 Internet,而這簡直是在鼓勵那些不懷好心的人們架設 Tor Server 來監看 Tor User 所傳遞的資料。也因此,Tor User 其實是把自己往火坑裡推,不是嗎?

同樣的,為了避免這種情況發生,請將 Tor 搭配 SSL 等加密技術使用。否則,請勿利用 Tor 傳遞任何的私密資料。

所以,在使用 Tor 時,請務必戒慎恐懼。Tor 並不是想像中那麼美好的事物呀!
迴響

Re: 再談 Tor 的安全性

謝謝您的分享!!

[回應] timeternity @ 04/12/2007, 07:43

Re: 再談 Tor 的安全性

很感謝您對tor 的介紹

因為我在中國

所以一定要靠tor 才能連到我想上的網站

順便請教一下
因為最近想用 ubuntu
請問有可以在ubuntu下用的
tor + privoxy +vidalia 嗎

[回應] 蒜頭 @ 07/12/2007, 12:15

Re: 蒜頭

請參考:在 Debian GNU/Linux 上安裝 Tor 以及 讓 Privoxy 和 Tor 搭配使用。Ubuntu 乃是基於 Debian,所以在 Ubuntu 上的操作方式應該也是類似。

[回應] Tetralet @ 07/12/2007, 20:20

Re: 再談 Tor 的安全性

感謝您的指導

我已經把tor 和 privoxy 安裝在ubuntu上了

因為我在中國可是又想用linux 但是又從來都沒用過
所以一定要有tor 不然有很多台灣的網站
這裡都連不上

真的是非常感謝

[回應] 蒜頭 @ 11/12/2007, 20:43

Re: 蒜頭

還好對於本小站,GFW 還不屑封鎖。 XD

[回應] Tetralet @ 12/12/2007, 18:29

小紅傘認為tor portable有毒

小紅傘(Avira)認為tor portable有毒,是誤判嗎?我也是人在大陸必須使用tor

[回應] 憑著胡亂的想法難有所成 @ 24/12/2007, 15:31

Re: Torportable & AntiVir

不清楚耶。也許是誤判、或真的有問題?或許和德國的法律有關?德國據說已明令禁止使用 Tor 這一類的軟體了,而 AntiVir 則是德產軟體哦!

[回應] Tetralet @ 25/12/2007, 22:37

Torportable & AntiVir

可是,tetralet,安裝版的tor,沒有被小紅傘當病毒喔!不過不管是安裝版還是免安裝版,threatfree都會跳出允許與否的視窗。它平常不會像comodo防火牆老是跳出來,所以當它一旦跳出允許與否的視窗,就會覺得某個軟體在安全上有疑慮。因為threatfree無法判斷,於是要我判斷,而我又沒有這方面的專業無法判斷,只能聽從專業。要是小紅傘把tor porable當病毒那我還是別用它好了。

[回應] 憑著胡亂想法難有所成 @ 26/12/2007, 22:48

改錯字

是threatfire不是threatfree

[回應] 憑著胡亂想法難有所成 @ 26/12/2007, 22:51

Re: 憑著胡亂想法難有所成

如果是這樣子的話,當然建議您不要用 Portable 版的 Tor 囉!

謝謝您提供的資訊!

[回應] Tetralet @ 27/12/2007, 00:22

期待 Tetralet 大大的大作

大大您好:
您在~在 Internet 上隱匿行蹤!(十三) - 藉由 Tor 上 MSN 及其它網路服務~這一篇大作的回應中曾經提到~最保險的作法是利用 Windows 2000/XP 內建的 RunAs 程式來讓 MSN Live Messenger 以另一個使用者身份運行,並將該使用者的 IE 的 HTTP Proxy 設定為 127.0.0.1:8118。若有機會筆者會再專文介紹。敬請期待!~真的是期待、期待、再期待呀!
此外,小弟最近在http://anchorfree.com/這個網站發現了Hotspot Shield這一個軟體,宣稱可以隱匿使用者的IP,初步試用後IP確實能改變成美國地區的,不知您是否願意實測一番並發表大作,以嘉惠廣大的網友呢?

[回應] 多爾溥 @ 24/02/2008, 20:29

Re: 多爾溥

Sorry, 最近諸事繁忙,所以暫時無暇動筆。(不想推廣 Windows 及 IE 也是主要原因之一... XD)。但我會儘快寫出來的,感謝您的建議!

[回應] Tetralet @ 05/03/2008, 10:04

想請教一些問題

大大你好,請問這些tor的自願者為什麼要提供他們的電腦出來當中繼者,只是基於理想嗎?如果伊朗政府看到伊朗有人提供tor router,他若把自願者抓起來,不就沒人要提供自己的電腦了嗎?
感謝你的回答,看完你的文章有很多收獲哎。

[回應] CoCoLuLu @ 27/10/2008, 20:43

請問 PCManX 如何透過 tor 上網?

大大您好,拜讀過您的文章之後,真的非常的佩服你。
不但是技術學有專精,就連對很多一般的事情都有獨到的見解呢!
不過有個小問題想要向您請教:
請問 PCManX 如何透過 tor 上網呢?
還請大師您不吝指導,謝謝。

[回應] 藍月楓鈴 @ 26/07/2009, 12:41

Re: 藍月楓鈴

一般不支援 Proxy 或 SOCKS4A 的軟體若要透過 Tor 上網,最簡單的做法便是透過 socat。以用 telnet 上 ptt.cc 為例(Sorry 我沒在用 PCManX):

socat TCP4-LISTEN:4242,fork SOCKS4A:localhost:ptt.cc:23,socksport=9050 &
telnet localhost 4242

不過 Tor 頻寬大多不高,操作起來會有很嚴重的 lag 現象。請斟酌使用吧!

[回應] Tetralet @ 28/07/2009, 20:10

請問

大大你好:要是連TOR也被封鎖了呢?
那還有其他方法可以突破嗎?
謝謝!

[回應] @ 09/12/2009, 14:43

請問,高手!! 大致上看完TOR的解說,

我是使用TOR+ FOXYPROXY 電腦是w7
我應該如何去做設定,才能成功呢?
因為到中國出差,本身對電腦軟體又不了解
麻煩,多幫幫手!!!

[回應] 大陸雞 @ 04/10/2011, 18:00

Re: 再談 Tor 的安全性

很專業的分析,感謝!

[回應] 夢見草 @ 20/10/2014, 18:25

authimage
驗證碼皆為英文大寫字母
僅輸入前4碼即可。後2碼是假的,欺敵用。
這是為了防制 Spam 而設計的。若造成您的不便還請見諒!
Accessible and Valid XHTML 1.0 Strict and CSS
Powered by LifeType - Design by BalearWeb