Hej listan!
Mötet igår beslutade att DFRI skall ha en s.k. flashproxy-badge på hemsidan.
Här är ett utkast till svensk text som förklarar vad det går ut på. Förbättringsförslag?
--8<---------------cut here---------------start------------->8--- Flashproxy är ett program som låter en webläsare reläa trafik mellan blockerade internetanvändare och Tor-nätverket.
Genom att klicka på flashproxy-symbolen förvandlar du din webläsare till en slags proxy. Din webläsare kommer periodiskt att fråga en s.k. facilitator om det finns några blockerade Tor-användare som har bett om en proxy. När den får information om en blockerad användare kopplar den upp sig till denna och börjar reläa trafik till och från Tor-nätet.
När du stänger fliken som flash-proxy kör i så slutar din browser att reläa trafik.
Läs mer om flashproxy på https://crypto.stanford.edu/flashproxy/ --8<---------------cut here---------------end--------------->8---
On 06/27/2013 07:03 AM, Linus Nordberg wrote:
Hej listan!
[snip]
Här är ett utkast till svensk text som förklarar vad det går ut på. Förbättringsförslag?
Hejsan!
Några saker som jag undrar, som man kanske ska lägga till en blurb om: 1) hur mycket trafik reläas genom din browser, såsom "mycket"/"lite"? 2) hur hårt lastar det din browser, såsom "mycket"/"lite"? 3) NAT blev jag inte klok på igår, funkar/funkar inte? 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt plötsligt släpper in "vem som helst" i min browser? Fast är det inget problem kanske man inte ska ta upp det?
Mvh,
Stefan Petersen spe@ciellt.se wrote Thu, 27 Jun 2013 11:15:25 +0200:
| On 06/27/2013 07:03 AM, Linus Nordberg wrote: | > Hej listan! | [snip] | > Här är ett utkast till svensk text som förklarar vad det går ut | > på. Förbättringsförslag? | | Hejsan! | | Några saker som jag undrar, som man kanske ska lägga till en blurb om:
Tack för synpunkter!
| 1) hur mycket trafik reläas genom din browser, såsom "mycket"/"lite"? | 2) hur hårt lastar det din browser, såsom "mycket"/"lite"?
Ja du, det vet jag inte. Baserat på den mängd trafik jag ser på dom bryggor jag kör: Inte mycket på någon.
Men jag kan höra med David (skaparen av detta magiska ting) och om du har lust att testa lite så vore det ju fantastiskt!
| 3) NAT blev jag inte klok på igår, funkar/funkar inte?
Browsern kopplar upp sig mot Tor-klienten så det räcker med att den kan göra utgående TCP-connections.
| 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt plötsligt | släpper in "vem som helst" i min browser? Fast är det inget problem | kanske man inte ska ta upp det?
Risken för att bli ägd genom browsern är nog större när du rendrerar en sida med bilder (säger jag utan att ha läst koden! :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy isf. ;-)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On 2013-06-27 11:32, Linus Nordberg wrote:
Stefan Petersen spe@ciellt.se wrote Thu, 27 Jun 2013 11:15:25 +0200:
- Säkerhetsaspekten. Kan nån hacka min data om jag helt
plötsligt släpper in "vem som helst" i min browser? Fast är det inget problem kanske man inte ska ta upp det?
Risken för att bli ägd genom browsern är nog större när du rendrerar en sida med bilder (säger jag utan att ha läst koden! :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy isf. ;-)
Men det är inte så att gigantiskt säkerhetsproblem (flash) + potentiellt säkerhetsproblem (flashproxy) <= gigantiskt hål in i din dator (flash ensamt) så jag tycker inte frågan kan slängas bort helt. Även om jag håller med dig till fullo just i det här exemplet.
Finurlig liten pryl det där! Vill testa jag med men för stunden får det ligga på högen av saker jag verkligen vill göra.
// jwalck
Jonatan Walck jonatan@walck.se wrote Thu, 27 Jun 2013 12:05:09 +0200:
| On 2013-06-27 11:32, Linus Nordberg wrote: | > Stefan Petersen spe@ciellt.se wrote Thu, 27 Jun 2013 11:15:25 | > +0200: | >> 4) Säkerhetsaspekten. Kan nån hacka min data om jag helt | >> plötsligt släpper in "vem som helst" i min browser? Fast är det | >> inget problem kanske man inte ska ta upp det? | > | > Risken för att bli ägd genom browsern är nog större när du | > rendrerar en sida med bilder (säger jag utan att ha läst koden! | > :)). Kör du Adobe Flash i din browser? Oroa dig inte för flashproxy | > isf. ;-) | | Men det är inte så att gigantiskt säkerhetsproblem (flash) + potentiellt | säkerhetsproblem (flashproxy) <= gigantiskt hål in i din dator (flash | ensamt) så jag tycker inte frågan kan slängas bort helt. Även om jag | håller med dig till fullo just i det här exemplet.
OK, låt oss droppa Adobe Flash från diskussionen. Och alla andra plugins/addons också.
Vi försöker oss på en lista över skillnader och likheter mellan att köra flashproxy mot att surfa dn.se. Endast aspekter på säkerheten i Firefox beaktas.
Det här resonemanget baserar sig på en webläsare utan skydd mot besök på tredjepartssidor (typ RequestPolicy för Firefox). Jag kan egentligen ingenting om det här med surf som alla verkar vara så förtjusta i så hjälp till att fylla på!
Skillnader mellan att köra flashproxy mot att surfa dn.se:
- dn.se joggar din rendreringsmotor, flashproxy dina websockets
Likheter mellan att köra flashproxy och att surfa dn.se:
- någon annan väljer vilka IP-adresser din browser besöker
Jag tror att det kan vara en smart detalj att nämna att flashproxy använder sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap kommer att dra associationen till Adobe Flash...
Appropå säkerheten i det - med tanke på att det är rå JavaScript så är det tio gånger större risk att inte använda NoScript än att köra Flashproxy, då alla eventuella säkerhetshål som utnyttjas isåfall är delar av HTML-standarden.
När man läser om flashproxy på W3C ( http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att största risken är just XSS (cross site scripting) och det är ju just den detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan.
Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar enormt mycket pengar på säkerhet och har väldigt mycket att förlora på öppna säkerhetshål i sina webbläsare.
Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är bara knappt större än med Skype/surfning/BitTorrent egentligen.
Emil Tullstedt sakjur@gmail.com wrote Thu, 27 Jun 2013 13:24:31 +0200:
| Jag tror att det kan vara en smart detalj att nämna att flashproxy använder | sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap | kommer att dra associationen till Adobe Flash...
Tack.
Lade till
--8<---------------cut here---------------start------------->8--- Namnet till trots så har flash-proxy inget med Adobe Flash att göra. Webläsaren behöver alltså inte Adobe Flash för att flash-proxy skall fungera. Däremot måste den ha stöd för JavaScript med Websockets. --8<---------------cut here---------------end--------------->8---
| Appropå säkerheten i det - med tanke på att det är rå JavaScript så är det | tio gånger större risk att inte använda NoScript än att köra Flashproxy, då | alla eventuella säkerhetshål som utnyttjas isåfall är delar av | HTML-standarden. | | När man läser om flashproxy på W3C ( | http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att | största risken är just XSS (cross site scripting) och det är ju just den | detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan. | | Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, | Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar | enormt mycket pengar på säkerhet och har väldigt mycket att förlora på | öppna säkerhetshål i sina webbläsare. | | Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser | till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är | bara knappt större än med Skype/surfning/BitTorrent egentligen.
Hur menar du?
2013/6/27 Linus Nordberg linus@nordberg.se
| Appropå säkerheten i det - med tanke på att det är rå JavaScript så är det | tio gånger större risk att inte använda NoScript än att köra Flashproxy, då | alla eventuella säkerhetshål som utnyttjas isåfall är delar av | HTML-standarden. | | När man läser om flashproxy på W3C ( | http://www.w3.org/TR/2012/CR-websockets-20120920/ ) verkar det som att | största risken är just XSS (cross site scripting) och det är ju just den | detaljen som flashproxy utnyttjar - så det kommer man ju aldrig undan. | | Min syn på säkerheten kring FlashProxy är att säkerheten beror på Apple, | Google, Microsoft och Mozilla - fyra företag som rent objektivt satsar | enormt mycket pengar på säkerhet och har väldigt mycket att förlora på | öppna säkerhetshål i sina webbläsare. | | Risken som finns är ju den att man via Tor-nätet kan få tag i IP-adresser | till eventuellt dåligt skyddade nätverk som man sedan hackar - men den är | bara knappt större än med Skype/surfning/BitTorrent egentligen.
Hur menar du?
Att risken är extremt liten tror jag är slutsatsen och att största risken är att någon råkar få tag på din IP-adress och försöker leta efter säkerhetshål i din router typ..
On 06/27/2013 01:33 PM, Linus Nordberg wrote:
Emil Tullstedt sakjur@gmail.com wrote Thu, 27 Jun 2013 13:24:31 +0200:
| Jag tror att det kan vara en smart detalj att nämna att flashproxy använder | sig av öppna, standardiserade protokoll, då alla med över 7 i IT-kunskap | kommer att dra associationen till Adobe Flash...
Tack.
Lade till
--8<---------------cut here---------------start------------->8--- Namnet till trots så har flash-proxy inget med Adobe Flash att göra. Webläsaren behöver alltså inte Adobe Flash för att flash-proxy skall fungera. Däremot måste den ha stöd för JavaScript med Websockets. --8<---------------cut here---------------end--------------->8---
Bra skrivet i övrigt och bra med extra förtydligande i detta fall. Vi får se vad han som skrivit prylen säger, det ska bli intressant. En del av mina frågor var jag som undrade och en del var som jag tänkte att potentiella "andra användare" skulle kunna ställa sig.
Jag ska se om jag kan provköra lite flashproxy nån kväll när jag har "riktigt internet" (dvs != 3G).
Mvh,
-
Emil Tullstedt -
Jonatan Walck -
Linus Nordberg -
Stefan Petersen