write.privacytools.io

Reader

Read the latest posts from write.privacytools.io.

from jal

Ya denuncié en este Blog anteriormente que un servicio ciudadano de Salud de la Junta de Andalucía permitiera que su app tuviera dentro de sí un rastreador de Google que afecta a todos los andaluces en este artículo:

https://write.privacytools.io/jal/el-horror-de-la-app-del-servicio-andaluz-de-salud-salud-responde

También comenté una forma de evitarlo, pero sé que no está al alcance de la mayoría, y seguramente de muy poca gente, en este otro artículo:

https://write.privacytools.io/jal/analizando-y-bloqueando-conexiones-con-netguard

Pues este día 22 de Agosto salió una nueva actualización y tuve la esperanza de que hubieran modificado lo que hicieron, pero no ha cambiado nada: ni en el número de permisos ni en el mismo Firebase Analytics, que muchos defienden como inofensivo pero que se suele usar para ver las estadísticas de uso de una aplicación, que como dije en ese artículo anterior es algo que no se debería hacer en la administración pública ya que Google mete las narices en ello.

Tras escanearlo con la app ClassyShark3xodus y ver que todo seguía igual, volví a subir el enlace de esta nueva actualización (como ya hice con las otras anteriores) a la web de Exodus para que quede ahí registrada, y aquí os dejo el informe:

https://reports.exodus-privacy.eu.org/en/reports/91290/

Bueno, al menos que valga esto para seguir denunciando lo mismo, y que haya esperanza en que cambie algún día esta mala praxis por parte de un servicio público, y esperando que esto no se extienda a otras comunidades (si es que ya no se hace).

 
Read more...

from Computer Science and General Technology

Open-Source

I would like to discuss in detail about Firefox and Firefox forks with detail. This article will attempt to discuss about current technical involvement with these projects. Note, that not every possible aspect will be discussed here, but a great deal of information will be placed here none-the-less.

Firefox

Firefox is the open-source web browser web browser developed by Mozilla, and its many volunteers worldwide. The browser has since gone many transformations, with Quantum being the biggest change. The browser advocates to be private based browser. Although some people criticize Firefox for not being as private as they would like it, here is an explanation on why it doesn't come with any of the privacy settings configured by default.

The reason stems from usability, while first-party isolation and resist fingerprinting could be enabled by default. It could prevent a website from working at its best. Thus causing distress to the user. However many websites like PrivacytoolsIO provide resources to enable these privacy-oriented settings through about:config. While Google Safe Browsing is enabled by default. Bits of information is stripped out. Also, a list is generally downloaded to provide this capability. As stated here

From ghack's user.js:

There are NO privacy issues here. IF required, a full URL is never sent to Google, only a PART-hash of the prefix, and this is hidden with noise of other real PART-hashes. Google also swear it is anonymized and only used to flag malicious sites activity. Firefox also takes measures such as striping [sic] out identifying parameters and storing safe browsing cookies in a separate jar.

Browser studies and telemetry. While telemetry normally is used to track people. There are services that provide anonymous based telemetry that allow statistics to be gathered without violating privacy. If the user does not wish to participate in browser based experiments. They can go to about:preferences A.K.A options. Then uncheck the areas under privacy and security.

Web Extensions, are the current architecture that has replaced the previous XPCOM/XUL architecture. There was a debate on whether this was a good choice to make. There are people apposed to it, while others are for it. The reason why there was a discussion of it, originated from a security and development point of view. The old architecture suffered from extension permissions. Extensions could access the whole browser, while also accessing other extensions themselves. This posed a problem with malicious extensions. The old architecture made certain extensions prone to conflicting with a new release of Firefox. This could cause the extension, or Firefox to crash. There was also the issue with an extension that would be unable to function in the new release. A patch from the developer of the extension would be needed. In order for the extension to work. While many extensions have successfully been made compatible, there are others that aren't. This can stem from the extension is no longer under active development, trouble with making the switch, or outright deciding not to make the change. In this case, try to find a web-extension that what the previous extension did.

Currently Mozilla has been trying to create an open standard for web-extensions. Progress is slowly being made, but it hasn't been completed yet.

Waterfox

Waterfox is a Firefox fork, started by a student. The project uses the Pre-Quantum code v56. The project comes with the privacy oriented changes by default.

While Waterfox tries to be appealing to privacy respecting users. The problem lies in the security aspect of software. Waterfox doesn't include the latest Firefox code, due to the nature of keeping the old extension architecture. With two extension architectures supported at the same. There is the danger of a larger attack surface, and software bloat. The old extension architecture means running the risks of malicious extensions accessing the browser, and other extensions. While Waterfox does come with settings enabled by default, unlike Firefox. Most of the settings are able to be changed easily, with the help of online guides. Updates are also a problem. Waterfox doesn't have as many developers as Firefox. When an update arrives, the developer/s must integrate these patches into Waterfox before updating. This causes delays, that can result in a greater risk of application exploitation.

Pale Moon/Basilisk

Since both forks are from the same developer. I will join them together. Pale Moon is a browser fork that uses the Firefox ESR 38 code, while using the classic Firefox UI. Basilisk is another fork based on Firefox ESR 52. The rendering engine for both of these browsers is named Goanna.

Pale Moon aims to be another privacy respecting browser, with configurations made by default, unlike Firefox. Pale Moon also suffers from security flaws. Firefox v38 lacks many modern day capabilities, including security capabilities. One notable aspect is the lack of e10. E10 is what allows each tab process to isolate web content to prevent any leaks from happening. Without this protection, users are at risk of malicious code from accessing web content from the browser. This can cause manipulation of web content resulting in dangerous redirects, injection attacks, and more. From a security perspective, even Waterfox provides better support for modern security capabilities. Pale Moon and Basilisk also suffer from lack of developer resources. Basilisk also is able to support e10, but it was chosen not to enable it.

Tor Browser

The Tor Browser is a fork from the Tor Project. It is based on Firefox ESR v60. With plans to update to Firefox ESR v68 in the future. The browser comes configured with the ability to access the Tor Anonymity Network. Tor Browser also comes with HTTPS Everywhere and NoScript by default. The Tor Browser comes with API changes that help the Tor Browser become ambiguous. This helps protect against browser fingerprinting. A technique that advertisers, and websites can use to identify you. The Tor Browser recommends not to change any settings, to prevent you from creating privacy risks. More information can be located at the TorProject Website

The Tor Project has previously suffered from delayed patches also, but the Tor Uplift Project. Which is a collaboration with Mozilla and the Tor Project. Helps the Tor Project upstream their releases, to better keep up with the latest code.

Privacy and Security

Privacy and security go hand in hand. Security can also affect your privacy. For example encryption keeps users safe, and protects their privacy. Both need to exist in order to benefit each other. Respecting one over the other can result in an unbalanced experience, that doesn't give you the full benefit of both.

Creating a good fork

I have been considering for a while, of creating a browser fork of Firefox. One that one allow users to install with privacy oriented settings by default, or not too and let them choose to customize the settings themselves. This fork would include a standard and extended support release. Patches would come from Mozilla, and be applied by the time the patch is available. This project is called Nova. I would be glad to be head of this project and work on creating this fork.

 
Read more...

from ZSS ALDANIKON

Protokół DNS-over-HTTPS pozwala przesłać nazwę domeny wpisaną przez użytkownika na pasku adresu przeglądarki w postaci zapytania do serwera DNS, poznając w ten sposób numeryczny adres IP serwera, który hostuje konkretną stronę. Tyle, że wszystko tak samo działa nawet już teraz. Różnicą jest jednak sposób wysyłania zapytań. DoH wysyła zapytania do kompatybilnych serwerów DNS poprzez szyfrowane połączenie HTTPS poprzez port 443, zamiast otwartym tekstem na porcie 53, jak to się normalnie odbywa. W ten sposób DoH ukrywa zapytania w normalnym ruchu HTTPS, więc postronni obserwatorzy nie będą w stanie wykryć, co tak naprawdę użytkownik wyświetla w swojej przeglądarce. To jednak nie wszystko, bo drugą możliwością DNS-over-HTTPS jest działanie protokołu na poziomie aplikacji. Aplikacje mogą być dostarczane z zakodowaną wewnętrznie listą kompatybilnych z DoH resolverów DNS, gdzie będą wysyłać zapytania.

Jak go włączyć? DoH działa obecnie tylko w firefoxie.

  1. w pasku wpisujemy about:config
  2. w pasku wyszukiwania about:config wpisujemy network.trr.custom_uri
  3. Polecam nextdns jako dostawcę DNS. Wpisujemy tam https://dns.nextdns.io/c64e52
  4. teraz szukamy network.trr.mode i wpisujemy tam 3
  5. teraz szukamy network.trr.uri i wpisujemy tam https://dns.nextdns.io/c64e52
  6. teraz szukamy network.trr.bootstrapAddress i wpisujemy tam 45.90.28.0

I to tyle!

 
Czytaj dalej...

from jal

Ya tenemos la versión 0.70 del programa FreeTube y tal como dije en un artículo anterior, esta vez añadió la opción Proxy de Invidious, por lo que ya no se enviaría ningún tipo de información a Google al ver los vídeos de Youtube.

Recordad que el programa, al estar hecho en Electron, está disponible para varios sistemas operativos: Windows, GNU/Linux, Mac OS...

https://freetube.writeas.com/freetube-release-0-7-0-beta-local-profiles-new-channel-view-invidious-proxy

https://freetubeapp.io/#download

Al arrancar el programa verás varias opciones, que son las habituales que suelen aparecer en Youtube. Pero lo importante está en las Preferencias o Settings. Así que vamos a ello.

Opciones laterales

Entramos en Settings y cambiamos algunas cosas. En primer lugar querrás importar tus suscripciones, ya sea de Youtube, de Invidious (si estabas registrado en alguna instancia y con suscripciones), de la app para Android NewPipe o de un programa anterior del mismo FreeTube. Así que vamos al menú interno de Subscription Settings.

Suscripciones

En el caso de suscripciones que tuvieras en Youtube, deberás ir dentro de Youtube al Gestor de suscripciones y al final de la página darle al botón de Exportar a OPML. Lo mismo en Invidious, una vez logueado, en las Preferencias hay una opción abajo de esta página para Importar/Exportar Datos y dentro de este apartado verás la opción Exportar suscripciones como OPML (para NewPipe y FreeTube), pinchas ahí y ya tienes tu archivo para importar a FreeTube con tus suscripciones.

En el caso de NewPipe en Android, en la pestaña de la página principal de Suscripciones verás la opción Importar/Exportar y dándole a la pestaña para abrir las opciones veremos Exportar a – Archivo, pinchamos ahí y guardamos ese archivo y luego lo importamos a FreeTube.

Por supuesto verás también una opción en FreeTube para Exportar en cualquier momento tus suscripciones que tengas en FreeTube, eligiendo el modo de hacerlo en una lista a elegir (FreeTube, NewPipe u OPML), lo que no es mala idea por lo que pueda pasar en cualquier momento. Ten en cuenta que aún el programa está en beta.

Bueno, ya con tus suscripciones importadas vamos a otros Ajustes o Preferencias.

Lo más importante es la instancia de Invidious que quieres usar, ya que algunas instancias van más rápidas que otras, tienes un listado de instancias en este artículo de mi Blog (abajo del todo):

https://write.privacytools.io/jal/youtube-sin-google

Abajo casi del todo del menu de Ajustes o Preferencias de Freetube, verás la opción Current Invidious Instance (Defaults to https://invidio.us) y una zona donde poner el enlace de la instancia que prefieras. Siempre puedes cambiarla cuando desees. Yo por ejemplo usé esta (me va rápido): https://vid.wxzm.sx

Instancia

Mi consejo es, si quieres evitar a Google por completo y que los vídeos se puedan ver bien, que en el menu de Player Settings actives la opción Proxy Videos Through Invidious. Si quieres que no guarde un historial de lo que ves desactiva la pestaña Remember History. Si quieres ver subtítulos por defecto en cada vídeo señala la opción Turn on Subtitles by Default.

En las opciones generales o General Settings a mi personalmente me gusta el modo oscuro, por lo que señalé la pestaña de Use Dark Theme.

General

También puedes elegir la resolución de los vídeos, teniendo en cuenta que algunos vídeos no pueden estar en una determinada resolución. Creo que la opción por defecto de 720p está muy bien, aunque si quieres más rapidez puedes probar eligiendo una menor resolución, o lo contrario si quieres más calidad de vídeo.

Trae también una opción Proxy por si quieres que tus conexiones vayan por Tor: Use Tor / Proxy for API calls y puedes probar si va bien (teniendo Tor conectado en tu sistema) pulsando en TEST PROXY.

Abajo del todo de los Ajustes, tienes también para limpiar tu historial, tus vídeos favoritos o tus suscripciones.

Creo que el resto de opciones son bastante sencillas y cada cual tendrá sus gustos en esto. Te animo a echar un vistazo al programa y a probarlo a fondo.

Para terminar este artículo comentar que aunque el programa está hecho en Electron, el desarrollador se defiende de esta manera, lo cual al menos para mi es comprensible:

Creo que la privacidad debería ser accesible al mayor número posible de personas, independientemente de dónde se encuentren en el espectro de la privacidad. Para lograr esto con FreeTube, esto significa que tiene que ser una plataforma cruzada. Trabajo en FreeTube en mi tiempo libre, y soy la única persona que trabaja en esto. Para este proyecto, Electron es la única solución realista para que una sola persona pueda atender al mayor número de personas posible.

Mirando la cantidad de gente que descarga FreeTube, esto me demuestra que he hecho la elección correcta. Los usuarios de Windows representan aproximadamente el 50% de todas las descargas de FreeTube. Puedo decir fácilmente que una solución nativa terminaría siendo de Linux solamente y que terminaría eliminando el soporte para la mitad de mis usuarios.

A pesar de esto, todavía es algo que quiero investigar algún día. Mi plan es poner FreeTube en un estado completo de funciones en el que sólo tenga que hacer un mantenimiento sencillo. Esto probablemente tomará un año o dos, pero cuando llegue a ese punto, entonces consideraré una reescritura en una aplicación nativa.

 
Read more...

from jal

Hoy os hablaré de usar Mastodon en vuestro navegador de PC o smartphone de forma más privada, dando menos información al evitar por completo Javascript. Se puede usar con Javascript, pero en este caso vendría mejor la web original de vuestra instancia.

El proyecto, llamado Brutaldon se puede instalar (si conoceis algo de Python) de forma local en vuestro ordenador y luego enlazando desde el navegador a https://localhost:8000, o se puede instalar directamente en un servidor.

Aquí teneis el enlace al código:

https://git.carcosa.net/jmcbray/brutaldon

El desarrollador, Jason McBrayer, también ofrece ya una web por si quieres usarla, que va bastante bien, en el siguiente enlace:

https://brutaldon.online/

Por sencillez, vamos a hablar de esta web.

Siempre lleva cierto peligro confiar en un desconocido porque deberás dar permiso en tu instancia de Mastodon a usar este programa. Pero siempre es recomendable usar doble autenticación y el propietario no sabrá tu contraseña o código 2FA, únicamente podría tener permiso para leer y escribir en tu cuenta y no va a hacerlo. Lo que también suele ocurrir si usas una determinada app para Mastodon en tu smartphone.

Esto es así ya que, al dar permiso, el auth token queda almacenado en su servidor, pero siempre puedes revocar desde tu instancia de Mastodon este token dentro de las Preferencias. Y el desarrollador sé que es bastante respetuoso.

Así que si necesitas usar Mastodon en un ordenador con pocos recursos o de forma más privada sin javascript en tu navegador, es una buena opción.

Vamos a explicar los pasos en un navegador al que se le ha deshabilitado javascript.

Al ir a la web verás su pantalla principal y el botón para hacer Login:

Principal

Pulsamos en Login y entramos para escribir nuestra instancia de Mastodon, en el ejemplo puse mastodon.social:

Instancia

Seguidamente tu navegador enlazará con tu instancia para hacer login allí en la misma:

Usuario

Y si usas 2FA o doble autenticación te la pedirá ahora, en caso contrario pasará al paso siguiente:

2FA

Te ofrecerá, ahora sí, la opción para autorizar o no la aplicación Brutaldon:

Autorizar

Autorizamos y ya estaremos dentro.

Entramos

En este caso veis un Tema que suelo usar: Default Dark pero teneis unos cuantos temas para usar y que podeis ver pulsando en Settings, así como otras opciones:

Opciones1

Opciones2

Echadle un vistazo a las opciones porque son interesantes e importantes, como por ejemplo el deshabilitar javascript y el tiempo de comprobar si hay alguna notificación (sí, aún sin javascript te pondrá ese aviso en el apartado de Notificaciones). Aquí la pantalla general de las Opciones o Settings:

Opciones3

Configurais las Opciones y guardais pulsando abajo en Save y ya estareis en la pantalla principal con sus menus, aquí un ejemplo de la pantalla de Timeline y de Notificaciones:

Pantalla Timeline

Pantalla notificaciones

Hay 2 opciones para enviar un Toot, la forma simple y la forma con contenido media. En este último caso hay un icono para ello, que al pulsarlo te dirigirá a esta pantalla, más completa que la simple de Tootear:

Tootear media

Ahí podeis elegir el o los adjunto/s, escribir lo que querais y entonces darle ya al botón Toot.

El resto de opciones ya las conoceis si usais Mastodon, pero podeis verlas por vosotros mismos. Jugad con los diferentes Temas y recordad que al no usar javascript será todo mucho más rústico de usar, pinchando cada cierto tiempo a cada menu para actualizar el contenido y tal, pero a cambio consumirá menos recursos y enviará menos información de tu dispositivo desde el navegador.

Os dejo con una imágen de otro Tema, parecido a un Terminal de GNU/Linux: vt240 green

vt240green

 
Read more...

from Opinionated Orating

The internet is full of articles, blogs and character-limiting musings, so why do people continue to create new blogs?

Perhaps it's because there is so much going on in the world that people feel compelled to provide commentary; and why not? We all have opinions.

Whether it's about Brexit, Trump, Putin, or about the latest Taylor Swift song, Tarantino film, or Netflix special – we have positive, negative or perhaps apathetic reactions; so why not share those?

As a child you're taught;

If you can't say anything nice, don't say anything at all.

But why not?

There's a difference between arbitrary “trolling” or “cyber-bullying” and expressing your opinion, and if you do the latter, in a constructive way with justification/supporting evidence, then where is the harm? To only speak/type positively would create a sycophantic world where individuals are duped into having unwarranted airs of grandeur.

This blog will candidly express my views on anything in society I feel needs discussing. This will likely be a mixture of reviews (music, books, films, etc.) and commentary (news, articles, opinion pieces).

You are welcome to read it. You are welcome to disagree with it. You are welcome to think my posts are ill-informed and/or mis-guided. Simply put:

Welcome

 
Read more...

from crystalshower

Nyaman ga sih kalau setiap kegiatan yang kalian lakukan selalu dipantau oleh pihak ketiga? Mungkin bagi beberapa orang hal itu tidak begitu penting. Tapi untuk orang yang selalu menjaga privasinya, hal tersebut benar-benar menggangu.

Nah kali ini, saya akan membahas beberapa aplikasi Android yang bisa mengurangi data kalian dicuri oleh pihak ketiga.

Jika kalian menggunakan Chrome, UC, atau Opera? Alangkah baiknya kalian cepat-cepat uninstall. Karena mereka akan mengirim semua kegiatan yang kalian lakukan di dalam browser tersebut ke server mereka sendiri. Belum jelas apa tujuan mereka melakukan hal itu, namun apa salahnya berhati-hati.

Berikut adalah aplikasi browser yang sudah terbukti tidak mengambil data pengguna:

Bromite

Gak mau move on dari Chrome? Bromite solusinya!

Bromite adalah browser berbasis Chromium dan open source serta menghilangkan hal-hal yang berhubungan dengan layanan Google. Bromite juga dilengkapi oleh adblock untuk memblokir semua iklan yang mengganggu saat kalian browsing.

Tampilan Bromite benar-benar seperti Chrome. Jadi jika kalian terbiasa dengan Chrome, maka kalian tidak akan bingung menggunakan Bromite.

Kalian bisa mengunduhnya secara gratis di https ://www.bromite.org/

Fennec

Kalau tadi Bromite adalah aplikasi browser pengganti Chrome, maka Fennec adalah pengganti Firefox!

Tidak perbedaan signifikan antara Firefox dengan Fennec, namun Fennec bersifat open source sedangkan Firefox closed source dan dimiliki oleh sebuah perusahaan.

Fennec tersedia dapat diunduh melalui aplikasi F-droid atau download langsung melalui situs F-droid

Firefox Focus

Bagi kalian yang ga suka riwayat browsingnya dilihat orang, maka Firefox Focus rajanya.

Firefox Focus adalah browser sekali pakai. Maksudnya, jika kalian sudah tidak ingin browsing lagi, maka semua history, cache, cookies dan session akan otomatis dihapus.

Sayang sekali Firefox Focus tidak dapat ditemukan di Play Store Indonesia. Mozilla telah menggantinya Firefox Focus dengan Firefox Lite pada tahun 2018. Namun kalian masih bisa mendownloadnya melalui Apkmirror atau menggunan akun Google region US atau negara selain yang ada di benua Asia Tenggara.

Firefox Focus dapat diunduh melalui Google Play Store atau halaman github Firefox Focus

Conclusion

Nah itu tadi adalah kumpulan browser yang dapat digunakan tanpa harus memikirkan privasi kalian sendiri. Eittss... Inget... Semua yang kalian lakukan di Internet juga harus hati-hati ya. Browser hanya sebuah perantara saja. Sebuah website juga dapat membocorkan informasi kalian ya.. jadi harus hati-hati. Terimakasih 😄

 
Read more...

from pl-privacytoolsIO

Sieć Tor jest systemem anonimowości zaprojektowanym w celu ochrony prywatności i anonimowości jej użytkowników. W przeciwieństwie do usług VPN, Tor jest zarówno darmowy do użytkowania, jak i zdecentralizowany. Niestety, jest wiele błędnych informacji na temat Tora. Ten post ma na celu jasne wyjaśnienie Tora i obalenie różnych mitów, które go otaczają.

Jak działa Tor?

Ścieżka

Tor działa poprzez wysyłanie ruchu przez sieć tysięcy dobrowolnie prowadzonych węzłów (czasami nazywanych przekaźnikami). Każdy węzeł jest serwerem, który jest uruchamiany przez wolontariuszy, aby pomóc Ci poprawić prywatność i anonimowość. Za każdym razem, gdy połączysz się do Tora, wybierze on trzy węzły do budowy ścieżki do Internetu; nazywa się to obwodem. Każdy z tych węzłów ma swoją własną funkcję:

  • Węzeł Wejściowy: często nazywany węzłem guard, jest to pierwszy węzeł, z którym łączy się komputer. Węzeł wejściowy widzi Twój adres IP, ale nie widzi z czym się łączysz. W przeciwieństwie do innych węzłów, klient Tor wybierze losowo węzeł wejściowy i będzie się nim trzymał przez 2-3 miesiące. Powody takiego stanu rzeczy wyjaśnię na przyszłym blogu.

  • Węzeł Środkowy: drugi węzeł, z którym łączy się klient Tor. Ten węzeł może zobaczyć, z którego węzła pochodzi ruch (węzeł wejściowy) i który przechodzi do następnego. Nie widzi jednak twojego adresu IP, ani domeny, z którą się łączysz. Ten węzeł jest losowo wybierany ze wszystkich węzłów Tor dla każdego obwodu.

  • Węzeł Wyjściowy: jest to węzeł, w którym ruch opuszcza sieć Tor i jest przekazywany do domeny docelowej. Węzeł wyjściowy nie zna Twojego adresu IP (kim jesteś), ale wie z czym się łączysz. Węzeł wyjściowy, podobnie jak węzeł środkowy, zostanie wybrany losowo z węzłów Tor (jeśli działa z flagą wyjściową).

Szybka wizualizacja:

wizualizacja

Szyfrowanie

Tor zaszyfruje każdy pakiet trzy razy, z każdym kluczem kolejno od węzła wyjścia, środkowego i wejścia w tej kolejności. Po zbudowaniu obwodu przez Tor, przeglądanie odbywa się w następujący sposób:

  1. Kiedy pakiet dociera do węzła wejściowego, pierwsza warstwa szyfrowania jest usuwana. W tym zaszyfrowanym pakiecie znajdzie inny zaszyfrowany pakiet z adresem węzła środkowego. Węzeł wejściowy przekieruje go następnie do węzła środkowego.

  2. Kiedy węzeł środkowy odbierze pakiet z węzła wejściowego, usunie również warstwę szyfrowania za pomocą klucza i znajdzie zaszyfrowany pakiet z adresem węzła wyjściowego. Węzeł środkowy przekieruje pakiet do węzła wyjściowego.

  3. Kiedy węzeł wyjściowy odbierze pakiet, usunie ostatnią warstwę szyfrowania za pomocą klucza i znajdzie adres docelowy, z którym użytkownik chciał się połączyć, i przekaże pakiet na ten adres.

Oto alternatywna wizualizacja procesu. Zauważ, że każdy węzeł usuwa własną warstwę szyfrowania, a gdy witryna docelowa zwraca dane, ten sam proces odbywa się całkowicie odwrotnie. Na przykład, węzeł wyjściowy nie wie, kim jesteś, ale wie, z którego węzła pochodzi, więc dodaje własną warstwę szyfrowania i odsyła ją z powrotem.

wizualizacja

Więc czego możemy się z tego nauczyć? No cóż, dowiadujemy się, że Tor pozwala nam połączyć się ze stroną internetową bez znajomości całej ścieżki przez węzły. Węzeł wejściowy wie kim jesteś, ale nie dokąd zmierzasz; węzeł środkowy nie wie kim jesteś LUB dokąd zmierzasz; a węzeł wyjściowy wie dokąd zmierzasz, ale nie kim jesteś. Ponieważ węzeł wyjścia tworzy połączenie, strona docelowa nigdy nie dowie się kim jesteś (adres IP twojego urządzenia).

Mity i fakty.

Chociaż Tor jest jednym z najlepszych obecnie sposobów, aby chronić swoją prywatność i bezpieczeństwo, niestety cierpi z powodu złej reputacji. Jest to wynik wielu mitów, które teraz spróbujemy obalić:

  1. Ale Tor został stworzony przez rząd USA, musi mieć backdoora! Tor nie został napisany przez rząd. Tor została napisany przez Rogera Dingledine'a, później dołączył do niego Nick Matthewson, przy wsparciu finansowym laboratorium badawczego Marynarki Wojennej przez Paula Syversona. Twierdzenie, że musi zatem zawierać tylne drzwiczki, nie ma sensu z następujących powodów: Po pierwsze, rząd Stanów Zjednoczonych wykorzystuje Tora do ukrywania własnej działalności online; gdyby miał backdoora, nie byłby bezpieczny dla nich. Można by twierdzić, że mogliby stworzyć własne systemy anonimowości, ale nie byłoby to skuteczne. Jeśli rząd zbudowałby swój własny system i tylko pozwoliłby sobie z niego korzystać, to CAŁY ruch jest znany automatycznie jako ruch CIA/NSA/FBI, co czyni go bezcelowym. Nie można zapominać, że nie można być anonimowym samemu, podobnie anonimowi rówieśnicy tworzą tłum, w który można się wmieszać. Im więcej osób wrzucisz do mieszanki, tym trudniej jest znaleźć jakąkolwiek osobę.

  2. Tor umieści mnie na liście obserwacyjnej! Twierdzenie, że korzystanie z Tor dostaje się na listę obserwacyjną w zachodnim społeczeństwie, nie ma żadnego sensu. Nie dlatego, że to się nigdy nie wydarzy, ale dlatego, że byłoby to bezużyteczne w przypadku, gdyby to zrobili. Analiza pokazuje, że sieć Tor dostaje aż 2 miliony użytkowników dziennie. To ogromna lista, na tyle duża, że ukierunkowana inwigilacja nie jest już możliwa, a rządy musiałyby polegać na masowej inwigilacji. Hej, masowa inwigilacja, czy to już gdzieś się nie działo? O tak, to się nazywa Internet! Jedynym miejscem, w którym korzystanie z Tora może być niebezpieczne, są narody z opresyjnym rządem, ale i w takim przypadku VPN może wzbudzić podejrzenia i umieścić cię na “liście”. Również w przypadku Tora, można spróbować uniknąć wykrycia za pomocą przekaźników mostkowych, które są węzłami wejściowymi, które nie są publicznie wymienione. Wreszcie, warto zastanowić się przed czym chroni ciebie Tor i czy jest to ważniejsze niż to, na co teoretyczna lista naraziłaby cię na niebezpieczeństwo. To trochę tak, jakbyś myślał, że użycie HTTPS pozwoli Ci znaleźć się na liście, więc nie będziesz już używał HTTPS do ochrony siebie.

  3. Ale węzły wyjściowe mogą robić straszne rzeczy z moim ruchem! To jest częściowo prawdziwe, chociaż Twój ruch jest szyfrowany podczas wchodzenia i podróżowania przez sieć Tor, połączenie pomiędzy stroną internetową i węzłem wyjścia nie jest. Gdybym miał się zalogować na stronę internetową przy użyciu HTTP, węzeł wyjścia mógłby przechwycić moje hasło. I choć był to duży problem w przeszłości, masowe przyjęcie HTTPS, który przeszedł z 67% wszystkich stron internetowych w 2017 r. do 77% w 2018 r., spowodowało, że większość manipulacji dokonanych przez węzeł wyjścia jest niemożliwa, ponieważ węzeł wyjścia zobaczy tylko zaszyfrowany pakiet HTTPS, który musi zostać przesłany, więc nawet on nie wie, co zawiera pakiet.

  4. Ale rząd może ustawić wiele węzłów, by pozbawić ludzi anonimowości! Podczas gdy Tor nie jest rzeczywiście srebrną kulą, utworzenie wielu węzłów jest bardzo mało prawdopodobnym atakiem, który może być albo dość trywialnie wykryty, albo stać się BARDZO drogi, w zależności od tego, jak to się robi. Przede wszystkim, aby naprawdę zdeanonimizować kogoś w ten sposób, trzeba przynajmniej mieć węzeł wejścia i wyjścia z węzła użytkownika Tor. Pamiętasz, kiedy wyjaśniłem powyżej, że węzły wejściowe są wybierane raz i przechowywane przez 2/3 miesiące? To właśnie dlatego: jeśli rząd chce stać się twoim węzłem wejściowym, ma N% szans na to, że zostanie wybrany przez ciebie z ponad 6000 węzłów. Jeśli będę miał szczęście i wybierze mi węzeł pozarządowy, rząd będzie musiał utrzymać wszystkie swoje węzły w ruchu (kosztujące dużo pieniędzy) przez co najmniej dwa miesiące, zanim dostaną kolejną szansę zostania twoim węzłem. Również trwa to co najmniej 8 dni, maksymalnie 68 dni, zanim osiągnie pełną prędkość, aby stać się węzłem Straży, jak widzisz, jest to powolne, drogie i ogólnie bardzo nieatrakcyjny sposób na znalezienie użytkownika Tor. Choć tak, to nie miałoby sensu, gdyby to zrobili, ponieważ istnieje wiele ataków, które są dużo tańsze do wykonania i wypróbowania. W slajdach Tor Stinks, które wyciekły z dokumentów Snowdena, stwierdzono, że mogą one pozbawić anonimowości bardzo małą część ludzi, ale nie mogą być wykorzystywane do atakowania konkretnych osób na żądanie, co robi to bardzo drogim atakiem, nie opłacalnym w prawdziwej sytuacji.

  5. Ale Tor jest używany tylko przez przestępców na tej rzeczy zwanej Dark Web, nie powinniśmy tego wspierać! Po pierwsze, podczas gdy Tor może być używany do anonimowego dotarcia do stron internetowych w “Dark Webie”, większość ruchu w Torze jest wykorzystywana do dotarcia do normalnych stron internetowych. Podczas gdy niektórzy ludzie są przekonani, że Tor umożliwia pedofilów i powinien zostać usunięty, nie jest to rozwiązanie i nie pomoże w niczym. Jeśli zabierzesz Tora, wszystko, co by się stało, to to, że przestępcy używaliby innego (nielegalnego) środka do prowadzenia biznesu, gdzie aktywista w Iranie może zostać zabity i torturowany bez ochrony Tora. Tor może być mieczem o dwóch krawędziach, ale strona korzyści dla społeczeństwa jest znacznie ostrzejsza niż strona przestępcza.

  6. Słyszałem, że atak XYZ może złamać Tor! Jak powiedziałem powyżej, Tor nie jest srebrną kulą, mogą być ataki, które mogą być wykorzystane do prób usunięcia anonimowości użytkowników Tor. Ale jest to obecnie najlepsze, co mamy, i jak Tor rośnie, z każdym użytkownikiem i każdym nowym węzłem, ataki stają się trudniejsze i droższe do wykonania. Obecnie wiemy tylko, że w 2013 roku, w ramach Leaków Snowdena, NSA nie był w stanie wiarygodnie śledzić użytkowników Tora.

  7. Ale co z tym rynkiem narkotykowym, który został zniszczony? To był hostowany na Torze! To prawda, że istnieją pewne osoby, które nadużywają Tora, aby ukryć nielegalne strony internetowe, a wiele z nich zostało przyłapanych na robieniu tego. Jednak w każdym i każdym publicznym przypadku podjęcia zdjęcia, Tor nie było przyczyną. Trzeba zrozumieć, że nawet jeśli połączenie jest anonimowe, inne rzeczy mogą nie być. Tor nie jest magicznym pyłem bezpieczeństwa, nie sprawi, że Twój serwer będzie “niehackowalny”. Błędy w oprogramowaniu wciąż są rzeczą, infiltracja rządowa nadal jest rzeczą, a zwykły błąd użytkownika nadal jest rzeczą. Te taktyki są O WIELE tańsze, a także często dużo łatwiejsze do wykonania, niż skierowane na samego Tora.

  8. Ale Tor jest finansowany przez rząd USA! To jest częściowo prawda. Podczas gdy większość bieżących środków finansowych projektu Tor pochodzi od rządu USA, ludzie najpierw muszą zdać sobie sprawę, że znowu rząd wykorzystuje Tor samodzielnie, więc finansowanie jego rozwoju ma sens. Po drugie, rząd USA jest ogromny i ma sens, że jedna część rządu stara się go ulepszyć, podczas gdy druga chce go złamać. Ponadto warto wspomnieć, że Tor Project aktywnie stara się z sukcesem zdywersyfikować swoje źródła finansowania. W 2015 roku 85% finansowania Tor pochodziło od rządu USA, w 2016 roku spadło do 76%, a nawet 51% w 2017 roku. Chcesz jeszcze bardziej pomóc w dywersyfikacji finansowania Tor? Możesz to zrobić, wchodząc na ich stronę internetową, przekazując darowiznę, pomożesz im w ich ważnej pracy. Warto również wspomnieć, że cały kod Tora jest całkowicie FOSS, wszystkie dyskusje i spotkania, wszystkie badania, wszystko, co Tor Project robi, jest przejrzyste i dostępne dla każdego, kto może prześledzić i zbadać, co oznacza, że gdyby Tor Project miał zrobić coś podejrzanego, ludzie mogą to zobaczyć.

Więc mówisz, że Tor jest nie do złamania?

Nie, Tor, jak już wspomniałem, nie jest srebrną kulą. Chociaż jest to obecnie najlepsza opcja, jaką mamy, istnieją pewne ataki, które mogą być użyte przeciwko Torowi (np. ataki potwierdzenia ruchu), aby spróbować pozbawić użytkowników anonimowości. W tym celu można jednak podjąć inne środki techniczne, aby dalej się chronić. To, czym jest Tor, jest sposóbem, aby masowa inwigilacja była tak droga, tak trudna, że rządy musiałyby zmniejszyć skalę i skoncentrować swoje zasoby na konkretnych celach, zasadniczo pozbawiając się masowej inwigilacji. I taka jest siła Tora.

Przetłumaczone z https://write.privacytools.io/my-thoughts-on-security/slicing-onions-part-1-myth-busting-tor

 
Read more...

from Computer Science and General Technology

 Stop Ads

A long time ago during the time of the dot-com bubble, online advertising was beginning to grow. Many of these websites stated, and still state today. Advertising is necessary to help cover web-server costs. However an employee working at Tripod, by the name of Ethan Zuckerman created the first pop-up ad. This advertisement opened a pop-up window to grab the attention of someone who was visiting the website hosting the script. This grew into an out of control situation, where pop-up ads became viral. That is until browsers started including pop-up blockers, Opera being the first one to add it to their browser.

There was also another method of fighting against these advertisements, the hosts file. A hosts file is a way for your computer to associate IP addresses with domains. Host files like MVPS associated the domains with the address 127.0.0.1. This address is called the local-host, A.K.A your computer. When a domain is associated with that IP, the domain encounters a lookup error. Therefore, you won't be able to connect to that domain. MVPS is meant as way to combat online advertisements, that have started to become invasive.

There is another way that advertisers are being thwarted. That is ad-blocking browser extensions. These go by the names of, Adblock Plus, Adguard, and uBlock Origin. These extensions work by blocking connections to these domains, and also hiding the advertisements by using CSS (Cascading Style Sheets). Many websites started implementing ad-blocker, blockers. These came in the form of warnings, stating to disable your ad-blocker to continue viewing this website. This was thwarted by anti-ad-blocker, blocker scripts. This allowed users to keep viewing a website without anymore fuss.

The reason users are doing this involves sending a message. That users demand to be treated well, to not be tracked over multiple websites. That is right, we demand that advertisers change their behavior. We won't stop until they do. DuckDuckGo has proven, that you can have advertisements that don't track you. Advertisers should start looking at this example, and put it into practice themselves. This was Ad-blocking, or how we chose to step up and fight the advertisers.

Thanks for reading!

Copy Me

 
Read more...

from Computer Science and General Technology

No Google

Google is planning on making changes to the way extensions work in Chrome. Google claims that making these changes will provide better privacy and security. These claims are false. Google plans on changing the API that handles web requests. This will cripple the ability for extensions like uBlock Origin to function at its best. DeclarativeNetRequest will only limit the ability for developers to continue improving their extensions. For this I say no to Google's plans.

There are better that Google can improve the Chrome Web Store. They should start by having fast response when a extension is reported for abuse, a better automated system to detect malicious code, a better system to manually review extension code, and better guidelines. Google however, chooses to deny that this will be a problem for developers, but Google appears to care less for developers.

Here is what you can do to help combat this problem. Simply choose another browser, Firefox respects the wishes of the developer and the freedom to browse the way you like it. The time has come to start demanding companies to respect the freedom of its users, and not look to their own interests. I encourage developers to take a stand. Its my browser, and I'll use it how I like it.

References: https://www.theregister.co.uk/2019/06/21/google_chrome_manifest_v3/

https://www.xda-developers.com/google-chrome-manifest-v3-ad-blocker-extension-api/

https://www.eff.org/deeplinks/2019/07/googles-plans-chrome-extensions-wont-really-help-security

kopimi

 
Read more...

from 社交蟲洞

無法親自對你說的話

常常我
 生氣
憤怒 不平 衡
突現 各種沒事不會有的情緒

有時我
也同仇敵愾
也憤世忌俗
   也忌自己俗在社群網站的狂熱
必需表示
我支持ooxx幾週、幾個月後的假真相
嘲諷 另一群、每一群人的選擇
絕對強力排除 各種成長 的任何可能
表示 我 oxox我驕傲;不oxox 多可恥

我的情緒不是我的情緒

娛樂

最愛的書籍、電影、影集、小說、漫畫、動畫、經典,有人可以讀個數十千百遍,我拿同樣的時間可以滑手機數十千百萬次。也就是就算下個月發生什麼事了,至少可以說我上個月滑了手機數千次,而非碰了我最愛的喜好或我最親的人一次。

驚嚇

睡覺前,先來被一些慘烈的畫面與誇張的暴力幫大腦洗個一輪,我問我怎麼睡得好?

憤恨

與最愛的人在一起時,我才要感到對方的溫柔,就被網路上的政治新聞氣得氣氣氣氣氣,差點沒罵出來,還是罵了髒話,我終究也無法記得那二合一的情景的任何事了,我甚至不知道對方聽了之後的感覺與想法,只留著那令人難過憤恨的情緒。

無奈與哀傷

早上醒來,就從手上看到超級無力而哀傷的新聞,來開始了我原本應該美好的一天,完美地再會了。

原來的假設、模式,與結果

曾以為我能享受充滿精彩萬分的內容牆面,藉由電腦人腦同時試著阻擋、分辨、過濾那些明示或暗示的廣告、心理操作與政治導向的真假新聞,以及關聯到的各路人馬的情緒,我相信我能表現的比別人好,心理能維持正常。不要算那每四秒看一次手機的話。

想像那些詼諧的用字遣詞能在社群造成什麼影響,那些用力轉貼的文章,多希望能帶給大家一點啟發,對生活的想像,對人生的意義。現在唯一確定的,大概是那至少對生命殺了不少時間。

覺得離開這裡太可惜,因為上面有太多東西與新知、太多聰明的人與別人精彩的人生了。

與其好好過自己難得的人生,不如好好看別人怎麼過別人表面上精彩的人生。

接受心理測驗,增加所有選舉操作廠商、政黨、利益團體,以及廣告商對我的了解,加強他們對我明明暗暗的影響力。

關聯的親友在網路上,混雜在這麼多真假轉轉轉的資訊上的模樣,與當初私下的認識,有時好像不太一樣。

就社群抵制的結果來看,謾罵與洩恨除了讓人看起來不是很舒服與專業,讓怒氣就這樣發散了真的很可惜。

社群網路上的情緒與風向,就有如現在的天氣一樣難以預料,差別是,幾乎沒人能控制大範圍的天氣,不過現在大有各路人馬忙著引導網路上的民意、情緒與風向。

原則很簡單,觀察網路的一切,視窗停在哪裡最久、什麼樣的連結我最會點,什麼朋友與粉絲頁才是我的真愛,臉書應該比我最親近的人還清楚。

關於政治,看來社群平台是戰場的現在進行式,一個很重要的戰場,但無時不刻地上?好奇現實世界裡其它可能更重要、更有效的戰場是不是被忽略了。

關於解法

老實說沒什麼簡單的好辦法,我只是意識到這些事,退出或減少了使用社群網站。非不得已才開了幾個工作或極少特定目的連結的帳號。

期待社群網站可以治癒慰療我孤寂的心靈,可它當然沒有,倒是殺了不少時間;說來,慰療若是一種抑制與暫時壓抑,也不算沒有成功。就這樣到人生結束我想也是一種選擇。

分散式的各種社群網站與平台也是正在進行式的實驗,台灣可能還需要一點時間,也需要有決心的一起來起手。

相關電影、影集

  • 《個資風暴:劍橋分析事件》(The Great Hack) on Netflix
  • 《第四公民》(Citizenfour)
  • 《黑鏡》(Black Mirror, 以令人不舒服但各種對現在與未來的黑暗想像著名)
    • 〈碎片〉第五季.第二集
    • 〈全網公敵〉第三季.第六集
    • 〈黑函之舞〉第三季.第三集
    • 〈急轉直下〉第三季.第一集
    • 〈馬上回來〉第二季.第一集
    • 〈一千五百萬個積點〉第一季.第二集
    • 〈國歌〉第一季.第一集
  • 《神鬼駭客:史諾登 Snowden》

相關文章

相關新聞

 
Read more...