Ich benutze Tor zum Surfen. Bekanntlich soll man javaScript ausschalten, da sonst Infos wie die IP über JavaScript DOCH ausgelesen werden können.
Nun meine Frage, kann man nicht irgendwie einfach solche "kompromitierenden" Funktionen deaktivieren, da inzwischen doch sehr viele Websites JavaScript brauchen.....
danke und Frohes Neues Jahr
Ähm ja, wie konstruktiv - NoScript kommt als einziges was ich da so sehe in diese Richtung, und das blockt soweit ich weiß alles (Ausnahmen für SITES, nicht jedoch vor bestimmten funktionen)
Ich benutze Tor zum Surfen
Was soll das bringen? Außer katastrophaler Performance hat das im Alltag keinen Mehrwert.
da sonst Infos wie die IP über JavaScript DOCH ausgelesen werden können.
Quelle für die Behauptung?
Das ist doch trivial. Natürlich sollten Seiten geschlossen werden, die du während einer Torsitzung besucht hast. Da bräuchte es, wie dort erwähnt, nicht einmal JavaScript.
Das konsequente Schließen der Seiten vor dem Ende der Torsitzung reicht folglich vollkommen aus. Tor kannst du auch ohne TorButton verwenden, auch wenn es weiterhin im Allgemeinen keinen wirklichen Sinn macht.
Auch hier sei die Frage erlaubt! Wozu nutzt du TOR? Was willst du verbergen? Bist du bereit die bereits angesprochenen Performanceverluste aufgrund von Verfolgungswahn zu akzeptieren?
Nenn es Verfolgungswahn, nenn es wie du willst......
Im Zeitalter der Voratsdatenspeicherung und Internetsperren verwende ich eben Tor, auch wenn es etwas langsamer ist.
Im Zeitalter der Voratsdatenspeicherung und Internetsperren verwende ich eben Tor, auch wenn es etwas langsamer ist.
Und du meinst, damit bist du auf der sicheren Seite?
cheater2 fragte Folgendes:
[...]kann man nicht irgendwie einfach solche "kompromitierenden" Funktionen [Java-Script] deaktivieren, da inzwischen doch sehr viele Websites JavaScript brauchen.....
Dafür gibt es lokale Proxies (z.B. Valida), um somit die routergeführten Verkehrsdaten im Zuge ihrer Wegewahl zu verschleiern.
a. JS ist für sich genommen nicht in der Lage Deine IP-Adresse zu ermitteln und somit weiterzutragen.
b. Browser-Erweiterungen können jedoch JS-Scripte erlauben dies zu tun.
Frage Dich dagegen eher einmal, was eine IP-Adresse überhaupt ist und wer ausgerechnet ein Interesse an dieser entwickeln könnte, denn als paketvermittelndes und verbindungsloses Protokoll wird Dein Zugang bereits schon hundertfach auf unterschiedlichen Servern repliziert, bevor Deine Anfrage überhaupt das anonymisierende TOR-Netzwerk erreicht.
cheater2 erklärte Folgendes:
Im Zeitalter der Voratsdatenspeicherung und Internetsperren verwende ich eben Tor, auch wenn es etwas langsamer ist.
Vor soviel Naivität vermag ich mich nur noch ehrfürchtig zu verneigen!
Oliver
@ cheater2: Und nun? 
"Vor soviel Naivität vermag ich mich nur noch ehrfürchtig zu verneigen!"
Na jetzt bin ich gespannt - Was ist denn daran Naiv?!
"um somit die routergeführten Verkehrsdaten im Zuge ihrer Wegewahl zu verschleiern."
sorry, aber ich verstehe nicht wirklich, was du damit sagen willst?!
"wird Dein Zugang bereits schon hundertfach auf unterschiedlichen Servern repliziert, bevor Deine Anfrage überhaupt das anonymisierende TOR-Netzwerk erreicht."
Wo liegt hierbei das Problem? der Verkehr zum 1. TOR Server ist doch bereits verschlüsselt, also weiß keine der Zwischenstationen, an wen geschweige denn was ich wirklich sende/empfange ?!.....
edit:
"Und du meinst, damit bist du auf der sicheren Seite?"
Da bin ich ja jetzt wirklich mal gespannt, kannst du das bitte weiter ausführen?
der Verkehr zum 1. TOR Server ist doch bereits verschlüsselt,
Wenn du von den Nutzdaten sprichst, ja, aber nicht die Systemdaten.
Zudem gehen nicht alle Daten durch Tor...
Naja, muss jeder selbst wissen, wie er sich am besten verarscht.
Was meinst du denn mit Systemdaten? Und warum sollten nicht alle Daten über Tor gehen?!
edit: Bezogen auf den Firefox - adaten von Anwendungen, die nicht über privoxy geleitet werden, werden natürlich auch nicht über TOR gesendet
Ist schon toll das von dir nur ein "Man du bist blöd" kommt und du bei der Frage nach "warum" nichts weiter sagst bzw nur so andeutest das es auch nicht weiter hilft....
Wenn du jetzt meinst, du müsstest weiter gegen ein bestehendes Faktum schreiben,
dann hast du in der Tat dein [SCHILD] verdient.
Nochmal ganz simpel: TOR kann dich NICHT gegen das Auslesen von Systemdaten
schützen. TOR verschlüsselt nur bestimmte Daten. Möchtest du nicht, dass deine
IP oder Systemdaten und/oder Browserversion/Auflösung etc bekannt wird,
bleib einfach offline!* Denn soviele verschiedene Scripte, die das auslesen können,
kannst du nicht sperren - zumal manche Webseiten sich daran orientieren
und sich anpassen. Folgen davon wären zB "Webseite xyz wird von Firefox falsch dargestellt"
Dabei sitzt das Problem vorm Monitor.
*hätte zudem den Vorteil, dass man nicht weiter unnütze Fragen beantworten müsste
Tor kann nicht alle Anonymitätsprobleme lösen. Es konzentriert sich darauf, den Transport von Daten zu schützen. Du musst protokollspezifische Software verwenden, wenn du nicht möchtest, dass die von dir besuchten Seiten Informationen über deine Identität erhalten.
Quelle (ziemlich weit unten auf der Seite unter Anonym bleiben.
"TOR kann dich NICHT gegen das Auslesen von Systemdaten schützen"
Gegenüber angesurften Seiten natürlich nicht, insoweit JavaScript, Flash uä das zulassen - was der Grund dafür ist, dass ich hier nach einer entsprchenden Erweiterung gesucht habe.
Die Seiten müssen ja bestimmte "Basisfunktionen" zurückgreifen, um an zB die IP zu kommen (wenn man sie nicht mitschickt, wie man es ohne TOR tut) - und eben diese gedachte ich zu sperren. (ähnlich wie "sperre manipulation des rechtsklicks/kontextmenüs")
Informationen wie Browser und Auflösung und sind nicht wirklich persöhnlich (zur Richtigen Anzeige einer Seite sogar nötig, wie du selbst geschrieben hast) , daher nicht schützenswert. - dennoch, warum sollten diese (bei Leitung über TOR) unverschlüsselt übertragen werden, das sind doch in dem Zusammenhang genauso Nutzdaten wie alles andere (falls sie denn übertragen werden)!
Ausserdem MUSST du garkeine Fragen beantworten - wenn du nicht helfen willst, ist das doch dir überlasen.... in nem Support-Forum sollte Support gegeben werden, wenn man antwortet , findest du nicht?(und die AddOn Suche nach javaScript ist wenig hilfreich, selbst wenn ich da nicht vorher dran gedacht hätte)
und so wirklich beantwortet sehe ich meine Fragen noch immer nicht:
"Zudem gehen nicht alle Daten durch Tor"
Was genau damit gemeint ist, weiß ich noch immer nicht -> klar, es gehen nicht alle Anwenungen automatisch über Tor, aber wir reden ja von einem für Tor eingerichteten Firefox und den von ihm übertragenen Daten.....
"Nicht alle übertragenen Daten werden von Tor verschüsselt":
Gegenüber der Website, die man besucht, natürlich nicht, das ist klar. Die Aussage des Satzes ist aber eine andere, nämlich, dass manche Daten, die über Tor zu eben diesem Zweck geschickt werden, dennoch von Dritten gelesen werden können (Ich spreche hierbei nicht vom Sniffen auf Exit-Nodes!)
und ich warte noch gespannt auf Olivers Ausführungen zu
"Und du meinst, damit bist du auf der sicheren Seite?"
"Vor soviel Naivität vermag ich mich nur noch ehrfürchtig zu verneigen!"
aber er hat ja auch noch nicht wieder geantwortet....
Die einzig wirklich Hilfreiche aussage kam übrigens auch von ihm "JS ist für sich genommen nicht in der Lage Deine IP-Adresse zu ermitteln und somit weiterzutragen", zumal das meine Frage beantwortet hätte, alles weitere ist nur auf eure Äusserungen Tor betreffend zurück zu führen, wobei ich entweder falsch verstehe, was ihr schreibt, oder zig und hunderte von Webseiten falsch liegen, was Tor betrifft - denn nach euren Aussagen nutzt es ja nichts ausser Geschwindigkeitsveringerung - wobei ich mich dann frage, warum es überhaupt (von so vielen) genutzt wird bzw existiert.
Wenn es so unsicher und leicht zu brechen ist, warum beschäftigen sich dann Forscher mit zB Anonymitätsminderung durch Clock drifts, wenn es doch eh nicht Anonym ist?!
EDIT:
Zitat von Road-Runner
Quelle (ziemlich weit unten auf der Seite unter Anonym bleiben.
danke für den Hinweis.
"Cookies und die Herausgabe von Informationen über den Browsertyp zu blockieren."
betrifft jedoch wieder "Surf-essentielle" informationen. Cookies verraten ja auch nichts, wenn sie nur für die Dauer der Tor-Sitzung behalten werden. - und selbst dann würden sie allenfalls verraten "Das ist der gleiche PC, der Am x um y schonmal hier war" - ohne persöhnliche Daten (wie angegebenen Namen) nutzlos.
Ist zwar im wesentlichen, wie ichs auch oben schon geschrieben habe, aber ich wollte nur explizit auf dein Posting eingehen.
dass ich hier nach einer entsprchenden Erweiterung gesucht habe.
Und genau dazu hattest du bereits in der ersten Antwort eine Lösung erhalten!
Alles andere danach beruhte auf deiner Unkenntnis...
cheater2 erklärte u.A. Folgendes:
[...]wobei ich entweder falsch verstehe, was ihr schreibt, oder zig und hunderte von Webseiten falsch liegen, was Tor betrifft - denn nach euren Aussagen nutzt es ja nichts ausser Geschwindigkeitsveringerung - wobei ich mich dann frage, warum es überhaupt (von so vielen) genutzt wird bzw existiert.
Unter der Voraussetzung, dass Du in Europa lebst und arbeitest, mache Dir einmal Gedanken darüber, ob die eingeschränkte Kapazität des TOR-Netzwerkes nicht eher für solche Subjekte (Anwender) reserviert verbleiben sollte, welche in restriktiven Ländern (östlich des Nullmeridians (UTC > 2) / z.B. Russland oder China, etc.) leben müssen - wobei Anwender in solchen kontrollierenden Ländern einer komplexen Daten-Zugriffsbeschränkung (also allg. Zensur) ausgesetzt sind, die in Germany / Europa in dieser Ausgestaltung so nicht bekannt und somit auch nicht so einfach in dieser Form nachvollziehbar ist.
Meiner Ansicht nach, sollte die vordringliche Datenschutz-Diskussion in Germany nicht unbedingt einer verklärten „Hippiromantik“ folgen – von daher geht es bei diesem TOR-Projekt auch nicht nur um eine deutsche Diskussion - und somit ganz bestimmt auch nicht um Deine pers. Beweggründe.
Versuche einmal über den „Tellerrand“ zu schauen – ohne es dabei böse mit Dir zu meinen...
cheater2 fragte u.A. Folgendes:
[...]Was genau damit gemeint ist, weiß ich noch immer nicht -> klar, es gehen nicht alle Anwenungen automatisch über Tor, aber wir reden ja von einem für Tor eingerichteten Firefox und den von ihm übertragenen Daten[...]
Nein. Wir sprechen von einem Browser (z.B Firefox), der sich wiederum über einen wie auch immer gearteten lokalen Proxie (z.B. Privoxy) gegenüber dem ersten Entry-Node (also Eingangsserver) des TOR-Netzwerkes authentifizieren muss. Die Authentifikation gegenüber dem TOR-Netzwerk erfolgt bei dieser Konstellation somit über Privoxy – da über diesen Proxy auch eine Verschleierung der Metadaten (also der Beschreibungsdaten (Auflösung, Browsertyp, etc.)) erfolgen kann.
Für SSL / SHA gelten – meines Wissens nach - (unabhängig dieser TOR-Verfügung) jedoch folgende Einschränkungen:
a. Das SSL / TSL (Tunneling) Protokoll verschlüsselt - im Zuge eines vertraulichen Verbindungskonzeptes – nur die Transportwege der Datenkommunikation zweier Server. Die vertraulichen Sitzungsdaten werden jedoch auf den einzelnen Zielsystemen (i.d.F. den einzelnen Etappen der TOR-Nodes) einzelnd im Klartext abgelegt.
b. Der im TOR-Netzwerk zum Einsatz kommende SHA-1 (Secure Hash Algorithm) lässt im Zuge eines differenzierten Angriffes eine „errechenbare Kollision“ von bereits 2^63 Schritten zu (statt der ursprünglichen 2^80) mit der Konsequenz, dass sich die zugrunde liegenden Algorithmen bereits jetzt schon „beugen“ lassen.
Die US-amerikanische Behörde reagierte daraufhin mit einer sofortigen Implementation (Einbindung) der SHA-2 Spezifikation, die bis 2010 umzusetzen sei. Die deutsche Bundesnetzagentur folgt treu diesem Weg. 
Oliver
Natürlich ist TOR für zB Chinesen wichtiger, da gebe ich dir Recht. In Hinblick darauf (und sowieso bedingt durch die Geschwindigkeit) leite ich auch keine großen Datenmengen über TOR!
Privoxy mag diese Teile der Übertragung manipuieren können, dennoch tut es das wohl nicht in der Standardkonfiguration, oder?
zu a.
Soweit es auf der Homepage dargestellt wird (und der Name suggeriert), wird das ganze doch mehrfach verschlüsselt, will sagen:
Server 1 erhält meine Daten verschlüsselt mit seinem Public key. Nun kann er das entschlüsseln und erhält ein verschlüsseltes Paket(unter verwendung des Public Keys von Server 2) und zudem die Adresse von Server 2. Dieses Leitet er nun an Server 2, welcher selbiges tut. Dieser schickt sodann das Paket an den Server 3, der die nächste Stufe entschlüsselt und nun die Anfrage hat, die an den eigentlichen Webserver geht, nun die Antwort erhält, das paket verschlüsselt mit public keys von mir, server 1 und server 2 (jeweils mit weiterdenadresse) -> der gleiche Weg Rückwärts - also entschlüsselt zwar jeder Server die Daten, jedoch erhält er dabei nur die adressen seines Nachfolgers (die des Vorgängers braucht er ja zwangsläufig von vorn herein)
