Ci sono problemi con lo stesso criterio di origine (SOP) con gli indirizzi TOR o * .onion?
Sto pensando
- cookie
- Plugin (Silverlight, Flash, Java, ecc.)
- Javascript
Ci sono problemi con lo stesso criterio di origine (SOP) con gli indirizzi TOR o * .onion?
Sto pensando
In realtà non ho esaminato Tor, ma teoricamente non c'è alcun problema con una politica di origine identica. Neanche io trovo facile menzionare i problemi che si verificano nella pratica.
Ecco uno schizzo della teoria. La politica della stessa origine è legata a tre valori. Il primo è il protocollo Application Layer sotto forma di schema di protocollo URI come "http" o "https" che combina il protocollo HTTP con la crittografia via SSL / TLS. Il prossimo è un altro protocollo Application Layer, il DNS del sistema di nomi di dominio, sotto forma di nome host. L'ultimo è un piccolo valore del protocollo TCP (Transport Layer), in particolare il numero di porta. È possibile utilizzare Internet per anni senza mai notare che i numeri di porta sono in uso poiché la maggior parte dei siti utilizza il numero di porta "noto" per ciascun protocollo del livello applicazione. I numeri di porta noti includono la porta 80 per http e la porta 443 per https.
Nell'astrazione chiamata OSI Model, un protocollo Transport Layer trasporta qualsiasi traffico Application Layer senza che il livello si preoccupi molto dei dettagli di ciò che accade nell'altro layer. In realtà TCP non è conforme al modello OSI, ma per gli scopi attuali è abbastanza vicino. Tor funziona a livello di TCP, un protocollo Transport Layer, quindi è quasi tutto ciò che dobbiamo dire al riguardo.
Il software client che effettua la connessione a un nodo Tor crea una connessione proxy SOCKS. SOCKS è un protocollo Application Layer che può trasportare un protocollo Transport Layer, in particolare TCP. Questo è tutto ciò che dobbiamo dire al riguardo. Ma scriverò di più comunque.
Solo per rafforzare la nostra intuizione, ecco una breve descrizione di ciò che accadrà dopo. Con la connessione proxy SOCKS installata, il software client di rete può inviare il normale traffico TCP su quella connessione e nella rete instradata dalla cipolla. Quando il traffico TCP entra nella rete instradata dalla cipolla, il manuale di Tor dice che Tor negozia un circuito virtuale, un percorso di rete TCP che è persistente (a breve termine). Il circuito virtuale consente al normale traffico TCP normale del software client di passare attraverso, eccetto per il fatto importante che ottiene il routing della cipolla avviluppato e scartato attorno ad esso sulla strada. Al nodo di uscita dalla rete instradata dalla cipolla, si verifica l'importante effetto del ventriloquo. Appare a chiunque si trovi sul lato opposto della rete instradata dalla cipolla che il software dell'utente Tor sta inviando e ricevendo nel nodo di uscita.
Il software Tor consigliato dal lato client, che è chiamato Tor Browser Bundle, aiuta a preservare l'anonimato rendendo praticamente uguale lo stesso il software lato client di ogni utente Tor. Il pacchetto fornisce l'estensione NoScript per Firefox. Questa copia di NoScript è configurata in modo esplicito non per impedire ai siti di eseguire JavaScript nel browser. Ciò mi dà ulteriore sicurezza sul fatto che JavaScript funzioni e quindi che ci sia poca o nessuna difficoltà con la politica della stessa origine. La politica dello stesso autore (SOP) di JavaScript è in realtà un po 'più restrittiva rispetto al SOP per altre funzionalità del client Web come cookie e plug-in, quindi sono sicuro che anche loro funzionano correttamente.
Il browser non può sapere se .ionion è un "speciale" tld o un "normale" quindi non c'è motivo per lui di cambiare il suo SOP.
È come chiedere se esiste un comportamento diverso con * .com rispetto a * .us;)
Se usi Tor come proxy, è proprio come un proxy "normale" dei calzini. I siti dovrebbero funzionare come previsto senza modifiche.
Durante la navigazione sul Web e in generale la navigazione in Internet con Tor, Tor è il tuo ISP virtuale (con i soliti problemi di affidabilità WRT il tuo ISP: potrebbe alterare il tuo traffico). Questo è lo stesso con una VPN.
Quindi non ci sono problemi particolari qui.
Leggi altre domande sui tag privacy cookies web-browser tor same-origin-policy