![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
oio11Tor Project says Google, CloudFlare and others are involved in dark web surveillance and disruption
By Mark Wilson
Published 2016-02-27
With
privacy concerns
and the threat of surveillance from the likes of the NSA, more and more people are turning to the dark web and
Tor. The
anonymous, encrypted
network has become a haven for not just illegal activity, but also for those who simply don’t want what they do online to be tracked and traced.
By Mark Wilson
Published 2016-02-27
With
privacy concerns
and the threat of surveillance from the likes of the NSA, more and more people are turning to the dark web and
Tor. The
anonymous, encrypted
network has become a haven for not just illegal activity, but also for those who simply don’t want what they do online to be tracked and traced.
But now the Tor Project has voiced concerns that CDN and DDoS protection service CloudFlare is monitoring Tor traffic by introducing CAPTCHAs and cookies. CloudFlare is not alone: similar accusations are levelled at Google and Yahoo which are described as 'larger surveillance companies'. Concerns about interference with Tor traffic have been raised by project administrators in a ticket entitled "Issues with corporate censorship and mass surveillance".
Following instances of malicious traffic originating from the Tor network, CloudFlare introduced CAPTCHAs to ensure that visits to certain sites were being instigated by humans. This has not only proved irritating, but also unreliable. CAPTCHAs have been found to frequently fail, and appear multiple times. But more concerning that it opens up the potential for users to be "tagged, tracked and potentially deanonymized".
In a post on the Tor Project website, user ioerror
says:
says:
There are companies - such as CloudFlare - which are effectively now Global Active Adversaries. Using CF as an example - they do not appear open to working together in open dialog, they actively make it nearly impossible to browse to certain websites, they collude with larger surveillance companies (like Google), their CAPTCHAs are awful, they block members of our community on social media rather than engaging with them and frankly, they run untrusted code in millions of browsers on the web for questionable security gains.It would be great if they allowed GET requests - for example - such requests should not and generally do not modify server side content. They do not do this - this breaks the web in so many ways, it is incredible. Using wget with Tor on a website hosted by CF is... a disaster. Using Tor Browser with it - much the same. These requests should be idempotent according to spec, I believe.I would like to find a solution with Cloudflare - but I'm unclear that the correct answer is to create a single cookie that is shared across all sessions - this effectively links all browsing for the web. When tied with Google, it seems like a basic analytics problem to enumerate users and most sites visited in a given session.
There are concerns about CloudFlare's apparent lack of transparency, although an employee for the company did get involved in the discussion. ioerror continues:
One way - I think - would be to create a warning page upon detection of a CF edge or captcha challenge. This could be similar to an SSL/TLS warning dialog - with an option for users to bypass, engage with their systems or an option to *contact them* or the *site's owners* or to hit a cached version, read only version of the website that is on archive.org, archive.is or other caching systems. That would ensure that *millions* of users would be able to engage with informed consent before they're tagged, tracked and potentially deanonymized. TBB can protect against some of this - of course - but when all your edge nodes are run by one organization that can see plaintext, ip addresses, identifiers and so on - the protection is reduced. It is an open research question how badly it is reduced but intuitively, I think there is a reduction in anonymity.It would be great to find a solution that allows TBB users to use the web without changes on our end - where they can solve one captcha, if required - perhaps not even prompting for GET requests, for example. Though in any case - I think we have to consider that there is a giant amount of data at CF - and we should ensure that it does not harm end users. I believe CF would share this goal if we explain that we're all interested in protecting users - both those hosting and those using the websites.
There are no denials that the Tor network -- thanks largely to the anonymity it offers -- is used as a platform for launching attacks, hence the need for tools such as CloudFlare. As well as the privacy concerns associated with CloudFlare's traffic interception, Tor fans and administrators are also disappointed that this fact is being used as a reason for introducing measures that affect all users.
Ideas are currently being bounced around about how best to deal with what is happening, and one of the simpler suggestions that has been put forward is adding a warning that reads "Warning this site is under surveillance by CloudFlare" to sites that could compromise privacy.
Photo credit:
scyther5
/ Shutterstock
http://betanews.com/2016/02/27/tor-dark-web-surveillance
Tor Project говорит Google, CloudFlare и другие участвуют в темном веб-наблюдения и нарушения
По Марк Уилсон
Опубликован 7 месяцев назад
следить
С проблемами конфиденциальности и угрозы наблюдения с подобными АНБ , все больше и больше людей обращаются к темным полотном и Tor . Анонимным, зашифрованы сеть стала убежищем для не только незаконной деятельности, но и для тех , кто просто не хотят , что они делают в Интернете , чтобы отслеживать их движение.
Но теперь проект Tor высказал опасения, что CDN и DDoS защита CloudFlare службы является мониторинг трафика Tor путем введения CAPTCHAs и печенье. CloudFlare не одинок: аналогичные обвинения ранжированы в Google и Yahoo, которые описаны как "более крупными компаниями наблюдения». Опасения по поводу вмешательства в Tor трафика были подняты администраторами проекта в билете под названием "Проблемы с корпоративной цензуры и массового наблюдения".
После экземпляров вредоносного трафика, исходящего из сети Tor, CloudFlare представил CAPTCHAs, чтобы гарантировать, что посещение определенных сайтов были спровоцированы людьми. Это не только доказал, раздражает, но и ненадежным. CAPTCHAs Было установлено, что часто терпят неудачу, и появляться несколько раз. Но больше, в связи с этим, что она открывает возможности для пользователей, чтобы быть "помечены, отслеживаются и потенциально deanonymized".
В сообщении на сайте Tor Project, пользователь IOError говорит :
Есть компании - такие, как CloudFlare - которые эффективно в настоящее время Глобальные активные Adversaries. Использование CF в качестве примера - они не появляются открыты для совместной работы в открытом диалоге, они активно делают почти невозможным, чтобы перейти к определенным веб-сайтам, они сговариваются с более крупными компаниями наблюдения (как Google), их CAPTCHAs ужасны, они блокируют члены наше сообщество в социальных сетях, а не заниматься с ними и, откровенно говоря, они управляют ненадежного кода в миллионах браузеров на веб-за сомнительной выгоды безопасности.
Было бы замечательно, если бы они позволили запросы GET - например - такие запросы не должны и, как правило, не изменять на стороне сервера содержимого. Они не делают этого - это разрывает паутину во многих отношениях, это невероятно. Использование Wget с Tor на веб-сайте, организованном МВ ... катастрофа. Использование Tor Browser с ним - то же самое. Эти запросы должны быть идемпотентна в соответствии со спецификацией, я считаю.
Я хотел бы найти решение с Cloudflare - но я неясно, что правильный ответ, чтобы создать единый печенье, который является общим для всех сеансов - это эффективно связывает всю работу браузера для Интернета. Когда он связан с Google, кажется, основной проблемой аналитики перечисления пользователей и большинство сайтов, посещенных в данной сессии.
Есть опасения по поводу явного отсутствия CloudFlare, прозрачности, хотя служащий для компании сделали участие в обсуждении. IOError продолжает:
Один из способов - Я думаю, - было бы создать страницу предупреждения при обнаружении края CF или капчи вызов. Это может быть похоже на / TLS окне предупреждения SSL - с возможностью для пользователей, чтобы обойти, взаимодействовать с их системами или возможностью * связаться с ними * или владельцев сайта * в * или ударить кэшированную версию, только для чтения версия программы сайт, который находится на archive.org, archive.is или других систем кэширования. Это было бы обеспечить, чтобы * * миллионы пользователей смогут взаимодействовать с информированного согласия, прежде чем они помечены, отслеживаются и потенциально deanonymized. ТВВ может защитить от некоторых это - конечно - но когда все ваши краевые узлы управляются одной организацией, которая может увидеть открытого текста, IP-адреса, идентификаторы и так далее - защита снижается. Это открытый вопрос исследования, насколько сильно она снижается, но интуитивно, я думаю, что есть уменьшение анонимности.
Было бы здорово, чтобы найти решение, которое позволяет пользователям TBB использовать веб-страницы без изменений на нашей стороне - там, где они могут решить одну капчу, при необходимости - может быть, даже не запрашивая запросов GET, например. Хотя в любом случае - я думаю, что мы должны учитывать, что существует гигантское количество данных на CF - и мы должны гарантировать, что он не наносит вреда конечным пользователям. Я считаю, что CF разделил бы этой цели, если мы объясним, что мы все заинтересованы в защите пользователей - как тех, хостинг и тех, кто использует веб-сайтов.
Там нет отказов, что сеть Tor - во многом благодаря анонимности она предлагает - используется в качестве платформы для запуска атак, следовательно, потребность в инструментах, таких как CloudFlare. А также вопросы конфиденциальности, связанных с движением перехвата в CloudFlare, Tor болельщики и администраторы также разочарованы тем, что этот факт используется в качестве причины для введения мер, которые затрагивают всех пользователей.
Идеи в настоящее время отскочил вокруг о том, как лучше всего иметь дело с тем, что происходит, и один из более простых предложений, которые были выдвинуты добавляет предупреждение "Внимание этот сайт находится под наблюдением CloudFlare" на сайты, которые могут поставить под угрозу неприкосновенность частной жизни.
Фото: scyther5 / Shutterstock
http://translate.google.com/translate?hl=ru&sl=auto&tl=ru&u=http://betanews.com/2016/02/27/tor-dark-web-surveillance
scyther5
/ Shutterstock
http://betanews.com/2016/02/27/tor-dark-web-surveillance
Tor Project говорит Google, CloudFlare и другие участвуют в темном веб-наблюдения и нарушения
По Марк Уилсон
Опубликован 7 месяцев назад
следить
С проблемами конфиденциальности и угрозы наблюдения с подобными АНБ , все больше и больше людей обращаются к темным полотном и Tor . Анонимным, зашифрованы сеть стала убежищем для не только незаконной деятельности, но и для тех , кто просто не хотят , что они делают в Интернете , чтобы отслеживать их движение.
Но теперь проект Tor высказал опасения, что CDN и DDoS защита CloudFlare службы является мониторинг трафика Tor путем введения CAPTCHAs и печенье. CloudFlare не одинок: аналогичные обвинения ранжированы в Google и Yahoo, которые описаны как "более крупными компаниями наблюдения». Опасения по поводу вмешательства в Tor трафика были подняты администраторами проекта в билете под названием "Проблемы с корпоративной цензуры и массового наблюдения".
После экземпляров вредоносного трафика, исходящего из сети Tor, CloudFlare представил CAPTCHAs, чтобы гарантировать, что посещение определенных сайтов были спровоцированы людьми. Это не только доказал, раздражает, но и ненадежным. CAPTCHAs Было установлено, что часто терпят неудачу, и появляться несколько раз. Но больше, в связи с этим, что она открывает возможности для пользователей, чтобы быть "помечены, отслеживаются и потенциально deanonymized".
В сообщении на сайте Tor Project, пользователь IOError говорит :
Есть компании - такие, как CloudFlare - которые эффективно в настоящее время Глобальные активные Adversaries. Использование CF в качестве примера - они не появляются открыты для совместной работы в открытом диалоге, они активно делают почти невозможным, чтобы перейти к определенным веб-сайтам, они сговариваются с более крупными компаниями наблюдения (как Google), их CAPTCHAs ужасны, они блокируют члены наше сообщество в социальных сетях, а не заниматься с ними и, откровенно говоря, они управляют ненадежного кода в миллионах браузеров на веб-за сомнительной выгоды безопасности.
Было бы замечательно, если бы они позволили запросы GET - например - такие запросы не должны и, как правило, не изменять на стороне сервера содержимого. Они не делают этого - это разрывает паутину во многих отношениях, это невероятно. Использование Wget с Tor на веб-сайте, организованном МВ ... катастрофа. Использование Tor Browser с ним - то же самое. Эти запросы должны быть идемпотентна в соответствии со спецификацией, я считаю.
Я хотел бы найти решение с Cloudflare - но я неясно, что правильный ответ, чтобы создать единый печенье, который является общим для всех сеансов - это эффективно связывает всю работу браузера для Интернета. Когда он связан с Google, кажется, основной проблемой аналитики перечисления пользователей и большинство сайтов, посещенных в данной сессии.
Есть опасения по поводу явного отсутствия CloudFlare, прозрачности, хотя служащий для компании сделали участие в обсуждении. IOError продолжает:
Один из способов - Я думаю, - было бы создать страницу предупреждения при обнаружении края CF или капчи вызов. Это может быть похоже на / TLS окне предупреждения SSL - с возможностью для пользователей, чтобы обойти, взаимодействовать с их системами или возможностью * связаться с ними * или владельцев сайта * в * или ударить кэшированную версию, только для чтения версия программы сайт, который находится на archive.org, archive.is или других систем кэширования. Это было бы обеспечить, чтобы * * миллионы пользователей смогут взаимодействовать с информированного согласия, прежде чем они помечены, отслеживаются и потенциально deanonymized. ТВВ может защитить от некоторых это - конечно - но когда все ваши краевые узлы управляются одной организацией, которая может увидеть открытого текста, IP-адреса, идентификаторы и так далее - защита снижается. Это открытый вопрос исследования, насколько сильно она снижается, но интуитивно, я думаю, что есть уменьшение анонимности.
Было бы здорово, чтобы найти решение, которое позволяет пользователям TBB использовать веб-страницы без изменений на нашей стороне - там, где они могут решить одну капчу, при необходимости - может быть, даже не запрашивая запросов GET, например. Хотя в любом случае - я думаю, что мы должны учитывать, что существует гигантское количество данных на CF - и мы должны гарантировать, что он не наносит вреда конечным пользователям. Я считаю, что CF разделил бы этой цели, если мы объясним, что мы все заинтересованы в защите пользователей - как тех, хостинг и тех, кто использует веб-сайтов.
Там нет отказов, что сеть Tor - во многом благодаря анонимности она предлагает - используется в качестве платформы для запуска атак, следовательно, потребность в инструментах, таких как CloudFlare. А также вопросы конфиденциальности, связанных с движением перехвата в CloudFlare, Tor болельщики и администраторы также разочарованы тем, что этот факт используется в качестве причины для введения мер, которые затрагивают всех пользователей.
Идеи в настоящее время отскочил вокруг о том, как лучше всего иметь дело с тем, что происходит, и один из более простых предложений, которые были выдвинуты добавляет предупреждение "Внимание этот сайт находится под наблюдением CloudFlare" на сайты, которые могут поставить под угрозу неприкосновенность частной жизни.
Фото: scyther5 / Shutterstock
http://translate.google.com/translate?hl=ru&sl=auto&tl=ru&u=http://betanews.com/2016/02/27/tor-dark-web-surveillance
