image

Tor Browser biedt optie om onion-versie van websites automatisch te bezoeken

woensdag 3 juni 2020, 11:13 door Redactie, 10 reacties

Er is een nieuwe versie van Tor Browser verschenen die gebruikers voor de eerste keer de optie biedt om onion-versies van websites automatisch te bezoeken. Websites die over een onion-versie beschikken moeten hiervoor wel een http-header toevoegen waarin deze website wordt aangekondigd.

Onion-sites zijn alleen toegankelijk via het Tor-netwerk, dat weer via Tor Browser benaderbaar is. Er is een verschil tussen het gebruik van Tor Browser om een website op het 'normale' internet te bezoeken en het apart hosten van een onion-site op het Tor-netwerk die via Tor Browser wordt bezocht. In het eerste geval waarbij de 'normale' website via Tor Browser wordt bezocht is er nog altijd het risico van de exitnode. Dit is de laatste computer in het Tor-netwerk dat de uiteindelijke verbinding naar de gewenste website opzet. Door een website op het Tor-netwerk zelf te starten wordt dit risico weggenomen, omdat het verkeer op het Tor-netwerk blijft.

Facebook, nieuwssite ProPublica, e-maildienst ProtonMail en zelfs de CIA hebben een onion-versie van hun website. Deze partijen kunnen de onion-versie nu via een http-header aankondigen. Wanneer de normale versie van de website met Tor Browser wordt bezocht laat de browser een melding zien of de gebruiker voortaan de onion-versie wil bezoeken. De nieuwe feature is aanwezig in Tor Browser 9.5.

Deze versie verhelpt daarnaast verschillende kwetsbaarheden in de browser en legt bij beveiligingswaarschuwingen in de adresbalk de nadruk op onbeveiligde verbindingen. Waar een beveiligde verbinding in het verleden via aparte iconen en andere indicatoren werd weergegeven is dit inmiddels voor browsers de standaardsituatie. Wanneer er van deze situatie wordt afgeweken, bijvoorbeeld bij het bezoeken van http-sites, krijgen gebruikers een waarschuwing te zien. De ontwikkelaars van Tor Browser hebben de indicatoren van de browser hierop nu ook aangepast. Updaten naar de nieuwste Tor Browser kan via de updatefunctie en TorProject.org.

Image

Reacties (10)
03-06-2020, 11:24 door Anoniem
Aan Facebook heb je niets als je niet inlogt. Dus dan moet je ook je Facebook account aanmaken via de onion-versie.
03-06-2020, 11:59 door [Account Verwijderd]
Een ander voordeel dan al genoemd is dat het onion verkeer binnen het netwerk blijft en niet meer afhankelijk is van de capaciteit van (de beperkte hoeveelheid) exit nodes. Ook kan de onion service ingesteld worden om de eigen locatie niet af te schermen. Dat zorgt voor minder belasting van het netwerk.

De genoemde 'Onion-Location' header kan gebruikt worden als een redirect van een DNS domein naar het .onion adres. Deze functie is overigens eenvoudig te testen door het bezoeken van de tor website zelf: https://www.torproject.org.

Een andere mogelijkheid om gebruikers binnen het netwerk te houden, zonder te verwijzen naar het .onion adres, is gebruik maken van Alt-Svc headers. Bij bijvoorbeeld Cloudflare wordt dit gepromoot als 'Opportunistic Onions' [0]. Daarbij wordt er een tweede connectie opgezet waarover je verbinding maakt met de website, maar met behoud van de normale certificaat validatie etc. Voor gebruikers gebeurt dit transparant (zonder extra pop-ups), maar de voordelen m.b.t. exit-nodes en netwerk belasting blijven. Een manier om deze te testen is het bezoeken van de website https://perfectoid.space/test.php.

Het draaien van een node en/of onion service is vrij eenvoudig en kan dus als aanvulling gebruikt worden bij bestaande websites (ook als je niet als relay of exit node wilt fungeren). Sterk aangeraden dus als je zelf een website draait en het netwerk wat wilt ontlasten. Ik herken mij totaal niet in het beeld dat er veel misbruik afkomstig zou zijn vanuit het tor netwerk (wat dit niet meer of minder maakt). Wellicht dat dat verschilt per website, maar vergeet niet dat in vrijwel alle gevallen een VPN provider meer bandbreedte en lagere latency bied voor criminelen dan het tor netwerk.

[0] https://blog.cloudflare.com/cloudflare-onion-service/
03-06-2020, 12:00 door Anoniem
Als je zo'n site bezoekt die ook een .onion versie van de site beschikbaar heeft, dan kun je aangeven of je voortaan altijd automatisch naar de .onion versie van de website wil.

Een andere mogelijkheid is handmatig in about:config configureren:
privacy.prioritizeonions.enabled = true
03-06-2020, 12:00 door Anoniem
Door Anoniem: Aan Facebook heb je niets als je niet inlogt. Dus dan moet je ook je Facebook account aanmaken via de onion-versie.
Ik begrijp ook het nut niet helemaal van een FB .onion domein. Als tracker honeypot voor beginnende torgebruikers? Voor een nepaccount? Imago? Anoniem nepnieuws lezen als toekomstige mogelijkheid? Want zonder login heb je er idd niks aan.
03-06-2020, 13:26 door Anoniem
Door Anoniem:Ik begrijp ook het nut niet helemaal van een FB .onion domein. Als tracker honeypot voor beginnende torgebruikers? Voor een nepaccount? Imago? Anoniem nepnieuws lezen als toekomstige mogelijkheid? Want zonder login heb je er idd niks aan.
Het maakt het makkelijker om tor gebruikers te herkennen en een consistente beveiliging af te dwingen. Normaal zal dat gebeuren op basis je IP adres, het land waar vandaan je verbind etc. Als je continue vanuit een ander IP/Land vandaan verbind zal je eerder een captcha te zien krijgen terwijl dat niet altijd terecht is. Het is dus vooral gebruiksvriendelijker om tor gebruikers beter te herkennen en beveiligingsmaatregelen niet af te laten hangen van de reputatie van de exit node. Daarom zag ook Cloudflare het voordeel van onion services. Daarnaast bied het de mogelijkheid om zelf het hele circuit te sluiten bij misbruik, wat beter schijnt te werken dan alleen de verbinding met de exit node te sluiten. Het bied dus wel degelijk voordelen om dit toe te passen als je zelf een website draait, mits je IP reputatie gebruikt en dat problemen geeft.
03-06-2020, 13:44 door Anoniem
Door Anoniem: Aan Facebook heb je niets als je niet inlogt. Dus dan moet je ook je Facebook account aanmaken via de onion-versie.
Maar waarom zou je als FB gebruiker tor gebruiken, het gaat er toch om dat je anoniem kunt internetten.
En als FB gebruiker lijkt mij dat je er toch niet mee zit dat iedereen je gegevens heeft.
03-06-2020, 14:32 door Anoniem
Via de onion site van Facebook kunnen gebruikers uit landen waar Facebook geblokkeerd wordt deze toch bezoeken.
03-06-2020, 14:59 door Anoniem
De test via https://perfectoid.space/test.php lever in "new private window with tor" in de Brave browser nog steeds een gele
pagina op. Ik kom dan op de volgende exit node IP uit, en die is niet veilig:
https://www.abuseipdb.com/check/178.175.148.46?

luntrus
03-06-2020, 16:51 door Anoniem
Door Anoniem: De test via https://perfectoid.space/test.php lever in "new private window with tor" in de Brave browser nog steeds een gele pagina op.
De gele pagina is te verwachten bij de eerste 1-2 keer verversen. Pas na het ontvangen van de pagina wordt er (als het goed is) een circuit opgezet via het tor netwerk. Nadat deze verbinding is gemaakt zullen nieuwe aanvragen (zoals bij een refresh) over deze verbinding verstuurd worden. Dus probeer om de paar seconden te refreshen. Als de pagina nog steeds geel blijft na ongeveer 10-15 seconden dan lijkt het er op dat Brave het gebruik van onion services via Alt-Svc niet (goed) ondersteund. In een normale tor browser werkt het wel naar behoren.
03-06-2020, 19:17 door Anoniem
Door Anoniem: Via de onion site van Facebook kunnen gebruikers uit landen waar Facebook geblokkeerd wordt deze toch bezoeken.

Dat kan ook met TOR. In beide gevallen moet de gebruiker een entry node vinden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.