OpenID, SAML rappresenta una minaccia per l'anonimato di Tor? Come posso proteggere da un nodo .exit compromesso?

9

Questo è un esperimento mentale sull'interazione tra Tor, OpenID e uno (o più) nodi compromessi nel percorso sicuro. Sono concentrato su come utilizzare la tecnologia in un modo che aggiunge valore a una soluzione cloud sicura. Non ho alcun interesse a usare questa tecnologia per scopi nefandi.

Usa caso

Supponiamo di avere un server multi-tenant in cui ciascun cliente determina la visibilità del proprio dominio. Ad esempio: x.myhost.com può scegliere di essere "pubblico" e xyz.myhost.com è privato e accessibile solo da un indirizzo .onion nascosto.

Come ho capito, ci sono due modi in cui un server può interagire con Tor:

  1. Non fare nulla, usare SSL e fidarsi che l'ultimo nodo di uscita non sia stato compromesso
  2. "Collegati" alla rete Tor utilizzando un servizio nascosto e un indirizzo .onion

Minacce

Da quanto ho capito, la sessione è vulnerabile a un nodo .EXIT compromesso. Alcuni hack di cui ho letto includono:

  • divulgazione di dati protetti da SSL
  • Perdita dell'anonimato se l'utente utilizza molti servizi sulla stessa rete Tor, abilitando la correlazione

Domanda

Ora che il mondo si sta muovendo all'autenticazione basata sulle attestazioni, SAML e OpenID, come dovrebbe essere usato Tor con queste tecnologie, considerando che i nodi .exit potrebbero essere compromessi? Dato che esistono degli hacker di correlazione, dovrebbe essere usato OpenID / SAML? Alcune domande che riguardano l'architettura includono

  • L'OpenID pubblico è meno sicuro di quelli con l'autenticazione basata su form?
  • L'utilizzo di OpenID / SAML abilita la correlazione di sessione? Alcuni provider di OpenID sono migliori di altri?
  • Il server OpenID / SAML dovrebbe avere un indirizzo .onion? Questo aiuterà a prevenire gli attacchi di correlazione?
  • Ci sono vantaggi nell'usare un server OpenID pubblico (Google / Yahoo) in uno privato (Microsoft ADFSv2)
posta random65537 05.06.2011 - 18:09
fonte

4 risposte

5

Non capisco appieno la tua domanda, ma ci sono 2 modi per interagire con gli utenti TOR

1) Raggiungono Internet attraverso TOR. Questo dovrebbe utilizzare SSL / TLS. Come utente TOR che si connette a Internet globale, utilizzo spesso un proxy SSL / TLS, come CGIProxy o PHProxy su Apache con PKI valida (ad esempio certificati SSL). Inoltre, ho spesso specificato un nodo di uscita con .exit - spesso selezionato ordinando il paese di origine e elenchi di prestazioni in Vidalia. Il motivo è perché i nodi di uscita non crittografano il traffico in uscita per impostazione predefinita, quindi le uniche destinazioni Web sicure sono le destinazioni SSL / TLS (a meno che non si utilizzi un proxy SSL / TLS).

2) Stanno cercando di raggiungere un nodo nascosto TOR nella .onion gerarchia. Se questo è il caso, non hai davvero bisogno di SSL / TLS perché il traffico è crittografato. Tuttavia, al fine di mantenere le sessioni, vorrai basarti sul tipico meccanismo HTTP: cookie (o simili come hashses di dati simili a Panopticlick se sono abbastanza disparati). Questo sarebbe completamente indipendente dalla rete TOR, quindi non vedo alcun motivo per cui non è possibile utilizzare nessuna delle tecnologie che hai citato per produrre sessioni valide basate sui cookie.

    
risposta data 05.06.2011 - 19:30
fonte
3

Ho visto siti Web che eseguono un'istanza del router di cipolla (indirizzo .onion) e un'istanza pubblica.

Detto questo, se vuoi che il sito web sia pubblico, non ci sono motivi per fare sforzi per supportarlo. Se le persone che si connettono ai tuoi servizi stanno utilizzando tor senza capire i rischi o espongono inavvertitamente il loro traffico legittimo a causa del loro uso, allora è totalmente su quel client.

Credo di essere solo fraintendere il motivo per cui ha qualcosa a che fare con questa situazione. Se venissi a conoscenza degli utenti che si collegano al mio servizio tramite Tor, le mie uniche domande sarebbero "cosa sta succedendo al mio sito che giustificerebbe l'uso di Tor?" Gestisci un sito per adulti, un sito di odio, un sito politico, un sito di blackhat o qualcosa del genere? In tal caso, direi che ho un servizio web anonimo conjoined, o anche solo eseguire un servizio web tor. Se nessuno di questi è vero e non c'è motivo per i tuoi utenti di oscurare la loro identità, allora vengono presi rischi non necessari.

Una corretta installazione di Tor sarà sufficientemente sandbox per non consentire alcun tipo di sessioni persistenti (correggimi se sbaglio, ma non credo che openID possa funzionare anche con il default tor / vadalia / pacchetto di installazione polipo). Quindi, se gli utenti utilizzano correttamente Tor, dovrebbero prendere più passaggi possibili per mantenere la loro identità offuscata (cioè non accedere al tuo sito tramite tor).

So che non ho affrontato le tue attuali domande su OpenID, ma credo che questa sia la risposta appropriata per vedere le basi per le tue domande. Dovrebbe essere meno di una questione su come assicurarmi che OpenID sia sicuro via tor, e più una domanda sul perché tor viene utilizzato per accedere / autenticare il tuo sito e se questi utenti conoscono i rischi.

    
risposta data 08.06.2011 - 16:03
fonte
1

In pratica, quasi tutti ora usano i "bundle browser" di Tor, che includono un FireFox modificato chiamato Aurora con varie protezioni come HTTPS Ovunque abilitato di default. A quanto ho capito, tutto il traffico internet abituale dovrebbe passare attraverso la tua connessione internet principale a meno che tu non faccia esplicitamente ssh -l marlowe - 2 1.2.3.4 -o ProxyCommand="/ usr / local / bin / connect -4 -S localhost: 9050% h% p" o altro. Di conseguenza, il rischio maggiore è la condivisione di un account tra Tor's Aurora e un altro browser.

    
risposta data 25.11.2011 - 22:03
fonte
0

Sembra che tu stia gestendo un sito Web pubblico, ma alcuni dei tuoi utenti utilizzano TOR per raggiungere il tuo sito web. Se è questo che intendi:

Quindi non devi fare nulla di speciale. Utilizzare qualsiasi meccanismo standard per la gestione delle sessioni (ad es. Cookie di sessione, qualunque sia). Dovrebbe funzionare bene per gli utenti TOR. Niente di speciale necessario.

In alternativa, se non è quello che intendevi chiedere, modifica la domanda per spiegare più chiaramente quali sono i tuoi vincoli.

    
risposta data 06.06.2011 - 20:20
fonte

Leggi altre domande sui tag