Hoekomen ze daar bij. Op OS X 10.6 kun je gewoon 64 bit applicaties gebruiken. Ik heb nog 1 PC op dat os staan en volgens de activiteiten monitor draait zelfs >95% van de applicaties in 64 bit mode.

Zijn voorganger, OSX 10.5, was 32-bit.

Ik denk dat Tor de culturele intelligentsia in de totalitaire regimes hier geen dienst mee bewijst.

Achtergrond van het bericht zit hem vermoedelijk in een recent uitgebracht advies rapport aan Tor

Tor Browser gaat Firefox niet voor Chrome inruilen
https://www.security.nl/posting/399115/Tor+Browser+gaat+Firefox+niet+voor+Chrome+inruilen

Het advies was niet om over te stappen op Chrome maar om te kijken of er samengewerkt kon worden met Google team.
Dat was niet gewenst.
Dan nu het ASLR / 64 bit / Apple support argument aangegrepen om 10.6 te latten vallen met als 'toevallig voordeel' ook geen 'Fat Binaries' te hoeven schrijven.

Op dat pad zijn meerdere softwaremakers voorgegaan.
Onder andere Firefox, Adobe, ..ieder met zijn eigen argumenten.

Het verschil is alleen dat de Tor browser pretendeert meer ideëel van aard te zijn en een product levert dat nou net meer van levensbelang is in delen van de wereld met een lagere levensstandaard en een lager inkomen.
Een lagere levensstandaard betekent in veel gevallen dan ook een oudere pc of mac met een ouder os.

Met het droppen van de support van een ouder nog veel gebruikt systeem als 10.6, en dan waarschijnlijk toch zeker nog relatief veel meer in die regio's' ten opzichte van systemen waarop Mavericks draait, keer je juist in belangrijke mate de doelgroep de rug toe waarvoor je er eigenlijk bent.
Mager alternatief is dan nog voor 19% Snow Leopard + pakweg 8% Lion gebruikers het technisch zelf maar gaan uitzoeken met Tails.

Nog een voorbeeld waar gemak en security elkaar tegenkomen
In de Torbrowser 4 beta is trouwens de poortbeheer functie uit de configuratie setup op voorstel van de dezelfde verwijderd (!) als zijnde een 'bug' met als reden dat die functie te ingewikkeld was (?!).
Hup extra security eruit want men begrijpt het niet. Visuele tutorial en uitleg op de eigen site kan wonderen doen.


Handig, nee ik sta niet op de list en er is geen openbare plaats om hierop inhoudelijk te reageren.
Zo krijg je je ideeën er wel doorheen, net zoals de poortbeheer-'bug' die geen bug was maar een feature!

Dit plan vraagt om een onderbouwde reactie vanuit de Mac community in combinatie van OS X Marketshare cijfers uit diverse wereld regio's waar Tor gebruikers Tor nodig hebben en geen nieuwe Mac's kunnen betalen.

(maar goed, oud pc-tje met linux kan ook, valt ook minder op, who cares anyway?)

Ik denk dat mensen die de Tor browser weten te vinden ook Tails wel kennen. Ik denk/hoop dat deze actie ze juist beweegt Tails te gaan gebruiken of op een nog wel onderhouden OS over te stappen. Debian draait bijvoorbeeld ook prima op de meeste oude PPC macs. Het blijven ondersteunen van de Tor browser op een EoL OS biedt enkel schijnveiligheid.

Dit soort 'gemakkelijke' uitspraken jeuken nogal.
Ik ga erop in maar trek het zeker niet persoonlijk aan, het is de dubbele aanleiding rondom zelfde argumenten :

Het gemakkelijke Eol cliché aanhalen biedt in ieder geval het schijngelijk, het gelijk van de niet onderbouwde maar op zich logische aanname.

Daarmee is de aanname nog geen uitkomende waarheid maar wordt vaak uit eigenbelang wel zo gepresenteerd.
Gebrek aan feitelijke kennis van zaken aangaande OS X security en mogelijkheden worden op deze manier handig verbloemd en overgoten met sausjes 'vooruitgang is een must' om iedereen dan ook aan de nieuwigheid te krijgen.
Het is inmiddels een hele keten van belanghebbenden die elkaar security angstig napraat en er allemaal belang bij hebben dat mensen nieuwe software en hardware kopen.

Die must is er echter voor veel gebruikers niet, als ze het met een laag bbp ergens anders al kunnen, hoe commercieel hard je dat met ook met frequente Os upgrades en gewenste hardware upgrades er ook doorheen probeert te duwen, het werkt niet.

Was er net een eenvoudig te installeren portable Torbrowser inelkaar gezet stuur je een ruime kwart van de nieuw geïnteresseerden weer weg.
Die stappen dus gewoon weer over naar een gewone browser of als het echt nodig is, reken maar hier en daar, gebruiken die de browser bij een ander, praktisch want geen dikke binaries en stukken veiliger.
Ideële Missie werkelijk geslaagd?

Ik ben niet tegen vooruitgang, mooie spullen zijn prachtig, enig realisme en bij de dagelijkse praktijk blijven is wel gewenst.

Veel Mac OS X gebruikers die al langer met een Mac werken gaan bepaald niet mee in de OS X upgrade hype.
Ze zien het nut of de beschikbaarheid niet, ze snappen het niet, ze proberen misschien wat te updaten maar kunnen het op de werkende hardware niet meer (geen updates beschikbaar, tja, al één/twee jaar niet, nee er staat inderdaad ook geen Eol en voluit melding bij!), laat staan dat ze de kennis hebben om met Linux aan de slag te gaan of met Tails cd's dvd's te gaan hobbyen.

Gevolg?
Ik zie gebruikers browsen met een unsupported Safari 4 of 5, gebruikers met fris gedownloade Firefox 3 (die versie waar de java plugin nog in de browser zelf in zit gebakken. Ik sloopte die er wel uit, maar deze gebruikers echt niet hoor).
Hebben we nog de restzooi versies van Java zelf en geen browserplugin detectie hoor, dat is alleen voorbehouden aan nieuwe Mac's. Flashplugin? Raad de versie maar, die gaat er dan wel af .. en ga zo maar door.
Klanten geforceerd naar nieuwe producten duwen lijkt een aardig idee maar werkt dus vaak helemaal niet als security oplossing, integendeel, zij pakt in de praktijk heel anders uit. Investerings en handelingskloof te groot.


Het goedbedoeld enthousiasme over Linux door jou als Linux fanaat (https://www.security.nl/posting/374345#posting374468) zal weinig mensen concreet aanspreken, daar rennen velen hard bij weg, te technisch wegwezen!
Ook upgrade en vernieuwings verhalen met meer commercieel gedreven achtergronden overtuigen velen niet, te doorzichtig en soms op het arrogante af; "Eol en weg met die meuk we moeten door".
Want werken aan nieuwe visuele friemeltjes en verdienmodellen, de wens van de klant is immers maakbaar als we het met zijn allen maar hard genoeg roepen en vaak genoeg herhalen dat ie het nodig heeft.

Nou,.. bepaald niet overal, Oudere Mac's gewoon naast die nieuwe iPhone en iPad hoor (iCloud werkt maar niet!?).
Ook Mac Os X gebruikers smijten niet zomaar geld tegen een andere Mac aan als de 'oude' nog werkt, zijn conservatief in Os keuze, die stappen niet zo snel over naar een ander Os met zichtbare andere Interface (smaakkwestie / leercurve kwestie, vergeet het maar gerust).
Nogmaals gezegd, laat staan in landen met een lager bbp.



Het is in ieder geval toch maar al weer gauw beweerd en geroepen in het openbaar ... argumenten, our policy ...

'Dikke' #1) Los van het gebrek aan dreigingen - Hoezo niet veilig? Configureren!
Dat oude Mac's niet veilig zijn te krijgen wordt wel geroepen maar is allerminst bewezen!
Nieuwe dreigingen gelden voor alle Mac's of misschien wel net wat vaker voor die nieuwe Mac's.

'Dikke' #2) Er is niets op tegen twee binaries aan te bieden. Meer ideeën / mogelijkheden paraat die hier achterwege gelaten, want

'Dikke' #3 Hiertegen begin je niets; "Our policy, .."
wel heel net toevallig samenvallend met een adviesrapport dat het o zo veilige 64 bit Google Chrome aanhaalde, dat nog niet eens was uitgebracht en nog steeds in een beta fase verkeert!
Dat rapport nog niet helemaal bestudeerd, het geeft een ieder geval handreikingen waarvoor die al eenvoudig binnen handbereik liggen.
Een 64 bit browser kunnen aanbieden klinkt natuurlijk gelikter.


Torbrowser dan maar daargelaten en terug op praktische security in plaats van policies en aannames

Security.nl - Tijd voor een community hackingcontest-dag?

Leidende/ lijdende voorwerpen ; oudere machines, met unsupported Os, met simpele maatregelen veilig geconfigureerd. Mac's, Pc's, ..
Dan eens kijken hoe kwetsbaar ze werkelijk zijn voor voorkomende middle of de road aanvallen, en vergelijken met die nieuwe spulletjes die buiten een virusscannertje installeren niemand verder configureert!
(Wat betreft Mac's, voel zekere reacties al aankomen, geen Os9, laten we zeggen vanaf Tiger 10.4. Dat zijn toch al 6 te security overbruggen versie binnenkort! ;-)

Up to date Os niet vereist want niet meer supported, wel vereist een up to date browser.
Een browser is tegenwoordig misschien wel belangrijker dan het Os als het gaat om security en internet gebruik, daarom (!!) moeten browsermakers daar niet lichtzinnig over denken.
Einde browsersupport is de feitelijke genadeklap voor een Os. *

Het zou me de uitdaging wezen!
Leuk ook om twee kampen binnen de community bijelkaar te brengen; zij die op zoek zijn naar extra beveiliging, zij die hun testskills legaal in de praktijk willen brengen.
't is maar een wild idee.

Het zou hopelijk ook een keer inzichtelijk praktijk materiaal opleveren bij altijd weer die Eol logica die zeker nog niet bewezen is, bepaald niet in zicht is maar meestal wel druk geadverteerd wordt vanuit heel heel andere (commerciële) belangen of voorkeuren.

Tot slot, het is een goed voornemen de Torbrowser veiliger te krijgen.
Van de security focus op 64 bit met volledig aslr gebruik ben ik nog niet overtuigd, de andere security mogelijkheden en argumenten ontbreken alsook de discussie over de wenselijkheid een dusdanig grote groep gebruikers te laten vallen.
Gebruikers die in veel gevallen niet in de gelegenheid zijn om te investeren in upgrades of technisch onderlegd genoeg zijn.

Die gebruikers raak je dan kwijt de vraag is of dat juist gewenst is of toch wat onhandig bedacht.
De grote kans bestaat ook dat gebruikers op een oudere Torbrowser versie blijven hangen, het was te voorzien. Torbrowser useragent browserversie strings gaan aanpassen als oplossing?
Hopelijk dat niet.

'Visionaire' developers op de vlucht vooruit, business as usual, never ending story?


* Firefox flikte dat ooit met het droppen van de PPC Mac support Google begon er destijds heel handig maar niet aan (nooit gemist). Voor wie nog zo'n PPc ding heeft staan of gebruikt is er het enthousiasme product van Tenfourfox.
Het kan dus best, hoef je niet tegen een linux interface aan te kijken als je daar geen trek in hebt.
Ik ben voor linux hoor, op pc's.

Ik begrijp die zin wel, en een supported OS biedt dezelfde schijnveiligheid. Desalniettemin, stel je woont in een land met een totalitair regime waar je het niet mee eens bent. Je wilt jezelf op internet uiten maar wil dat wel anoniem doen omdat het regime een zware straf heeft gezet op "anders denken". Dan ga je voor een zo groot mogelijke kans op anonimiteit en een OS zonder (bekende) beveiligingslekken biedt een grotere kans dan een OS waarvan bekend is dat er bepaalde onveiligheden in zitten.

De Tor browser voor EoL systemen blijven ondersteunen vergroot de schijnveiligheid. Doordat er wel updates voor uitkomen denkt de gebruiker dat 'ie goed zit, terwijl hij/zij naarmate de tijd vordert steeds meer een "sitting duck" wordt voor het regime door gaten elders in het systeem. Wellicht zou het beter zijn die uren tijdelijk in de promotie van Tails of een supported OS te stoppen (of bewustwording). Een live-cd bakken is tegenwoordig zo moeilijk niet.

Als je wel een nieuw iPhone koopt maar niet in je OS wil investeren omdat "het nog werkt", dan was ofwel de vorige telefoon troep/antiek, of de prioriteiten liggen toch niet zo bij anonimiteit als zou moeten. De serieuze gebruiker van Tor zou ook de updates van OS en andere programma's in de gaten moeten (laten) houden. Er staat veel (straf) op het spel.


[offtopic]
Goede uitgebreide reactie overigens, ik ga later op overige delen van je post in, nu te laat.
[/offtopic]

Iphone en iPad illustreerden in dat voorbeeld iets anders, die twee horen niet in één zin samen wat betreft het Tor verhaal.


OS X hardware software - Antiek en troep?

Kwestie van perceptie wellicht
Oudere Mac's zijn niet per definitie antiek en al helemaal geen troep omdat Apple het 'net niet meer support'. Zoals bekend heeft Apple doorgaans niet zo'n lange support op het Os als bijvoorbeeld Microsoft.
Dat is 'precies' meegaan in de veel gehanteerde marketing formule die veel bedrijven hanteren om mensen steeds weer snel nieuwe spullen te laten kopen, en in het bijzonder illustratief voor westers luxepaardjes-koop-maar-nieuw-argumentatie waartegen eerdere reactie in zekere zin juiste tegen ageerde.

Hoe het overkomt - ander samengevat
Een 'vlug' idee geopperd vanuit een zeer westers rijk land perspectief dat vermoedelijk helemaal geen rekening houdt met andere draagkracht perspectieven.
Ook nog eens direct gedelegeerd naar een achterdeur discussie voor ontwikkelaars en de gebruikers passerend door het niet als een belangrijk discussiepunt met reageer-mogelijkheid aan te bieden.

Te belangrijke discussie en vraag om maar even zo tussen neus en lippen door in een regeltje nieuwsbrief te verstoppen.
Op zijn minst onhandig maar concreet klopt het gewoon van geen kanten.

Verder
Security is belangrijk, prioriteiten stellen is belangrijk, de juiste afwegingen maken ook.
Het gaat wel om de balans, allemaal de nieuwste Mac met Mavericks is mogelijk het veiligst, is een makkelijke oplossing om aan te dragen omdat het geen recht doet aan de praktijk : gebrek aan draagkracht in grote delen van de wereld om een andere Mac aan te schaffen die iets nieuwers kan draaien dan Snow leopard 10.6.

Het belangrijke signaal is er dat er nog veel gebruikers zijn.
Mijn vermoeden is dat het Snow Leopard aandeel onder Mac gebruikers in die andere landen relatief nog veel hoger ligt dan die 19 procent door een relatief lager gemiddeld inkomen.
Helaas kon ik daarvan geen cijfers vinden.

Als je zo'n belangrijk signaal hebt en je negeert dat met een oplossing dat niet aansluit op de praktijk; koop maar nieuw of doorverwijzen naar een technische oplossing waarvan je zelf al denk dat het niet realistisch is, dan is het voorstel wat mij betreft een slecht voorstel.

Zeker nog als :

* je (de developer) je verhaal niet eens baseert op specifieke inzichtelijke marketshare informatie specifiek gerelateerd aan je doelgroepen.
* je je aannames in het voorstel niet inzichtelijk onderbouwt
* je in je voorstel verhaal laat doorschemeren dat het eigenbelang moeite besparen is
* je zelf al ziet dat er zwakke kanten aan je verhaal zitten en je niet eens de moeite hebt genomen om daarvoor goede laagdrempelige alternatieven te vinden
* je dit niet als open discussiepunt aan je eigen community voorschotelt opdat mensen daar laagdrempelig op kunnen reageren met een directe reactie mogelijkheid, maar denk dat wel te kunnen doen via het vrijwel terloopse technische kleine groep achterdeurtje van de mailinglist.
Daarmee wordt het een belangendiscussie van techneuten en ontwikkelaars en worden de gebruikers gepasseerd.

Deze ontwikkelaar bedoelt het vast goed, het effect komt alleen wel aardig in de richting van een meer algemene niet te complimenteren vrij hardnekkige houding onder ontwikkelaars : onvoldoende kunnen verplaatsen in wat de gebruikers willen, de eigen ideeën en wensen ten koste daarvan doordrukken.
Dat levert soms visionaire producten op, meestal en meer veel teleurgestelde en geprikkelde gebruikers.

Dit soort ontwikkelaars gedrag is voor mij reden daar in principiële weer eens voor in de pen te klimmen ('uitslag' krijg ik van dit soort terugkerende developer acties) en anderen op de schijnlogica en het passeergemnak in argumentatie te wijzen.

Benieuwd hoe dit achterdeur voorstel en de discussie daaromtrent zich verder gaat ontwikkelen (licht vermoeden daarbij).
We zullen zien.