Сейчас проект находится, как я понял, в стадии тестирования – на заглавной странице всех TOR-проектов ссылки на него нет, искать надо через гугл. Судя по описанию, пользоваться им просто: присылаешь на мейл gettor@torproject.org письмо, в теле письма указываешь под какую ОС тебе нужен браузер. В ответ приходит ссылка на dropbox, скоро добавят также ссылку на github. Скачиваешь, устанавливаешь, пользуешься.
Но на деле всё оказалось не так просто. Решив протестировать этот сервис, я зашел в свой секретный ящик на protonmail (не в открытую же писать, что хочу скачать запрещенный браузер), отправил письмо-запрос, и… получил в ответ:
Tor Browser.
Please reply to this message with one of the options below:
windows
linux
osx
And I will send you the download instructions quickly.
Tip: Just send a blank reply to this message if you are not sure.
Сколько я не бился, все остальные ответы копировали этот, один в один — никаких ссылкок не пришло. Немного поэкспериментировав, я понял, в чём состоял баг этого сервиса: для того, чтобы тебе пришла ссылка, тело письма должно либо быть пустым, либо содержать одно слово-запрос. Но protonmail всегда оборачивает текст письма в html, даже если это пустая строка. GetTor такие обёртки не понимает — так что, получить через секретный мейл секретный браузер никак не получится!
То же относится и к почте mail.ru. И только на gmail письмо со ссылками пришло, браузер скачался. В письме также приводятся контрольные суммы, для проверки целостности дистрибутива. Правда, файл незатейливо называется torbrowser-install, что как бы дает простой вариант будущей блокировки. Да и облачные хранилища не всегда бывают открыты, даже github иногда блокируют, и не только в Китае.
В общем, идея интересная – а насколько она будет востребована, покажет время.
Комментарии (33)
maximw
10.08.2015 16:53+1Очень пара проблем для параноиков:
1) Если будет заблокирован домен torproject.org, дойдет ли письмо?
2) Если записи домена будут подменены, злоумышленник (государство) получит жирный кусок инфы о запрашивающем.
3) Как гарантировать, что ответное письмо не подменено и ссылки не содержат какую-нить фигню под видом Тора, иначе говоря, какая аутентификация ответа?
caveeagle
10.08.2015 17:06Если будет заблокирован домен torproject.org, дойдет ли письмо?
Да, конечно. Я послал запрос через gmail.com, и с сервером torproject.org общался уже gamail.
Если записи домена будут подменены, злоумышленник (государство) получит жирный кусок инфы о запрашивающем.
Поэтому я и пытался запросить через protonmail — у них двойное шифрование, и ключ на сервере не хранится.
Как гарантировать, что ответное письмо не подменено и ссылки не содержат какую-нить фигню под видом Тора, иначе говоря, какая аутентификация ответа?
Общаться через тот же protonmail, или на кр. случай gmail. Злоумышленник не может массово подменять письма на зарубежном хосте. Защита от подмены самого файла на облачном хранилище — ещё проще, в письме присылают хеш-суммы.
randoom
10.08.2015 17:50-20Если в стране запретили Tor, то, наверное, не стоит глупить и использовать его ;)
apple01
10.08.2015 18:23+12Правильно, в стране нужно использовать первый канал. Главное не забыть получить справку о потреблении его контента, иначе в скором времени без нее могут не дать продуктов питания в магазине ;)
Zardos
11.08.2015 15:02+1А веревку с собой приносить или профком обеспечит?
caveeagle
11.08.2015 15:16+1Даже рискуя кармой, настоятельно прошу всех вспомнить: Хабр — не для политики!
Просьба дальнейшее обсуждение ситуации, не касающееся IT, перенести в личку.
Lux_In_Tenebris
11.08.2015 19:59+2Современные российские (и не только) реалии таковы, что политика так или иначе касается чуть ли не любой сферы жизни…
putnik
10.08.2015 18:31+6Запрет может быть техническим (заблокировали сайты, режут трафик), а может быть законодательным (штрафы и посадки, если докажут). В первом случае глупо не использовать, если знания позволяют.
Mishok2000
11.08.2015 14:20Мне кажется, что скоро начнут законодательно с ответственностью запрещать пользоваться запрещенными интернет-ресурсами. Почему-то все к этому и идет.
safari2012
11.08.2015 15:00Ничего, выкрутимся.
Помнится, в нашей стране в советские годы запрещали «каратэ», причем с конкретными посадками. Но от этого оно ещё более популярным стало. Помнится я ходил в «Дом пионеров» на секцию на каратэ под видом самбо. Антураж «подпольности» доставлял немало )
Gorthauer87
10.08.2015 19:35Проще завести друга за рубежом и иметь с ним несколько различных средств связи. Он то найдет способ передать средства обхода блокировок.
Ну а ещё лучше, конечно, добиться их отмены, но это трудный и долгий путь.
vsb
10.08.2015 21:26+3Спасибо, интересно. Для Казахстана актуально, как раз www.torproject.org запрещён.
caveeagle
11.08.2015 00:10Интересная информация, не знал! У вас вообще tor в любом виде запрещен, или только сайт?
Вообще, интересно было бы узнать, как там у вас обстоят дела с запретами. А то я всё больше про россию знаю, и про Китай. Про Казахстан вообще впервые слышу, что там что-то запрещено.vsb
11.08.2015 07:46+1Всё нижеописанное про Казактелеком, крупнейший провайдер.
TOR как таковой работает. Слышал, что были попытки его закрыть методом DPI, но чем они закончились — не знаю, в итоге TOR работает. Сайт тора не работает. Помимо этого закрыты все крупные порносайты. livejournal закрыт по политическим мотивам (там вроде бы ведёт блог опальный Рахат Алиев). Закрыты популярные анонимайзеры и, вроде бы, некоторые впны. Одно время был закрыт w3.org из-за его валидатора, который, видимо, можно использовать как анонимайзер. Раньше были проблемы с гугловыми сервисами — пытались банить серверы, обслуживающие кеш (сохранённая копия) в Google-поиске и мимоходом накрывали другие гугловые сервисы, то файлы в gmail не скачивались, то шрифты с google fonts не грузились то ещё что-нибудь. Сейчас вроде перестали. Закрыты и некоторые сайты, списка я не видел и не уверен, что он есть в открытом доступе. Суд постановил — провайдер выполнил, как-то так.
Лично я пользуюсь VPN-ом до своего VPS-сервера в Европе, на уровне DPI вроде никто ничего не блокирует, только на уровне IP.
У нас есть другие провайдеры, говорят, что у них всё работает, подтвердить или опровергнуть не могу.
J_o_k_e_R
10.08.2015 21:33+3А еще хорошо бы, чтоб они опубликовали свой gpg ключ публичный, чтоб можно было писать запрос, не используя всякие сомнительные фикции типа protonmail.
m0Ray
11.08.2015 01:09Чем же protonmail «сомнительная фикция»? Поясните глупому юзеру оного.
J_o_k_e_R
11.08.2015 01:171) Централизация
2) Шифрованиее, которое хоть и на клиенте, но каждый раз забирается с сервера, что позволит убрать это шифрование выборочно для любого пользователя в любой момент по желанию разработчиков.
3) Невозможность отправить шифрованное письмо за пределы protonmail. Отправка ссылки на зашифрованный контент не есть передача это контента.
1+2+3==пшик вместо серьезной приватности, особенно учитывая, что средства ассиметричной криптографии существуют больше 10 лет.m0Ray
11.08.2015 03:52-11) И что?
2) Уберут шифрование — не расшифруется ящик. Он зашифрован тащемта.
3) И хрен с ним. Чай соображу, что можно, а что нельзя отправлять за пределы шифрованной почты.J_o_k_e_R
11.08.2015 10:001) И всё. Возможность как сделать разрабам предложение, от которого нельзя отказаться, так и просто вынести целиком сервис. А в большом и жестоком мире кроме ура-шифрования у средства связи, чтобы не быть «фикцией» есть еще понятие надежности этого средства связи.
2) Мыслите чуть шире. Шифрование уберут для текущих сообщений. Для остального ящика просто передадут реквизиты для дешифрования (явки, пароли, ключи).
3) А как вы планируете ВСЕХ возможных контрагентов, которым может понадобиться написать что-то шифрованное затащить в протонмейл? А что Вы будете делать, если из-за п.1, его таки вынесут?m0Ray
11.08.2015 10:31-11) Вынесут — будем думать дальше.
2) Это легко обнаружить.
3) Точно так же, как затащил всех нужных людей в Jabber+OTR и Cryptocat.J_o_k_e_R
11.08.2015 10:36Вы спросили почему я называю этот сервис «фикцией»? Я ответил. Потому что он не предоставляет ни общей надежности, ни надежности шифрования аналогичной существующим (и много лет существующим) сервисам (email+gpg, xmpp+otr etc ). Сервис этот был создал на волне метаний хомячком после «откровений» Сноудена и закрытия лавабит. Если вы пофигист, то можете хоть в личке вконтактике переписываться — разницы с протонмейл минимум. Только тогда зачем Вам вообще шифрование?
m0Ray
11.08.2015 11:30-1Protonmail не хранит у себя расшифрованные сообщения, а вконтактик хранит. Плюс SMTP. Именно поэтому я использую protonmail. Он предоставляет достаточный уровень надёжности. Ни один другой сервис не предоставляет. Так и не понимаю, почему это фикция. Скорее всего, у вас какая-то личная неприязнь к разработчикам оного, зависть какая-нибудь…
kyprizel
12.08.2015 19:51А лучше принимали публичный gpg ключ отправителя, шифровали им бинарник и отправляли на ту же почту.
Assargin
11.08.2015 15:19Этот способ запретить tor обходится на ура, да.
Но ведь могут запретить tor по-умному — путём блокирования всех активных ip-адресов узлов, как это делают некоторые сайты, например avito.caveeagle
11.08.2015 15:25Это всё равно, что запретить все прокси.
Теоретически можно, но с ростом сети буду появляться всё больше активных узлов, все не запретишь. Например, я в скором времени собираюсь открыть такой узел у себя.
VBKesha
Непонятно одно, почему нельзя прислать сразу 3 ссылки?
И почему бы не присылать в дополнении magnet ссылку.
caveeagle
Сразу три — пришлёт, если оставить поле письма пустым.
magnet-ссылка это, конечно, хорошо в смысле доступности файла — но анонимность нарушается, всем становится известен твой IP-адрес (если я правильно понимаю технологию)
А вообще, можно им предложить, про magnet-ссылку. Идея хорошая!
VBKesha
Если я правильно понимаю то только тем с кого качаешь(при безтрекерной раздаче). Насколько это более опасно чем качание по ссылке с DropBox вопрос сложный.
boeing777
И к тому же людям не пришлось бы посылать письмо дважды. А робот, соответственно, получает двойную нагрузку/трафик из-за разбиения на два шага.
Lux_In_Tenebris
И что? Разве это позволит установить, какой пользователь какие действия совершил через Tor?
roodz
Это позволит обвинить в мыслепреступлении попытке скачать Tor.
По вводной в стране запрещено скачивать tor :)