[e-privacy] Hacking Tor
Emanuele Olivetti
olivetti at itc.it
Tue Oct 24 13:51:39 CEST 2006
Non ho letto i dettagli, pero' per evitare queste cose non c'e' appunto privoxy?
E.
stefanomaria at supereva.it wrote:
> Come da soggetto,
>
> http://isc.sans.org/diary.php?storyid=1794
> <<<
>
> L'idea di utilizzare plug-in (nello specifico Shockwave) non configurati per usare TOR mi sembra l'uovo di colombo: chi ha un buon firewall forse dovrebbe vedersi comparire un qualche avviso che il plug-in sta cercando di contattare un server remoto e decidere se fidarsi o meno, ricordandosi che quel plug-in non sta usando la rete TOR.
>
> Poco preoccupante l'utilizzo del javascript per conoscere l'ip: la tecnica utilizzata [ http://stud1.tuwien.ac.at/~e9125168/javas/jhostip.html ] infatti sembra non essere in grado di attaccare nessun browser aggiornato (clickate per provare).
>
> In soldoni l'attacco si riduce nel modificare la pagina per invitare plug-in (non configurati) ad accedere alla rete ... come ricorda l'autore, molti plug-in sono utilizzabili inclusi quelli per il videostreaming.
>
> Il punto e', a mio avviso, che TOR non valida il contenuto fornito dall'exit node. In questo modo, aldila' di quanto detto finora, e' possibile che il governo cinese crei molti exit node ad hoc (con indirizzi ip dinamici) in grado di moficare a proprio vantaggio il contenuto delle pagine fornite.
>
>
> _______________________________________________
> e-privacy mailing list
> e-privacy at firenze.linux.it
> https://lists.firenze.linux.it/mailman/listinfo/e-privacy
>
More information about the E-privacy
mailing list