The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект Tor представил OnionShare 2, приложение для защищённого обмена файлами

21.02.2019 14:30

Проект Tor представил выпуск утилиты OnionShare 2, позволяющей безопасно и анонимно передавать и получать файлы, а также организовать работу публичного файлообменника. Код проекта написан на языке Python и распространяется под лицензий GPLv3. Готовые пакеты подготовлены для Ubuntu, Fedora, Windows и macOS.

OnionShare запускает на локальной системе web-сервер, работающий в форме скрытого сервиса Tor, и делает его доступным для других пользователей. Для доступа к серверу генерируется непредсказуемый onion-адрес, который выступает в роли точки входа для организации обмена файлами (например, "http://ash4...pajf2b.onion/slug", где slug - два случайных слова для усиления защиты). Для загрузки или отправки файлов другим пользователям достаточно открыть этот адрес в Tor Browser. В отличие от отправки файлов по email или через такие сервисы, как Google Drive, DropBox WeTransfer, система OnionShare является самодостаточной, не требует обращения к внешним серверам и позволяет передать файл без посредников напрямую со своего компьютера.

От других участников обмена файлами не требуется установка OnionShare, достаточно обычного Tor Browser и одного экземпляра OnionShare у одного из пользователей. Конфиденциальность пересылки осуществляется путём безопасной передачи адреса, например, используя режим end2end-шифрования в мессенджере. После завершения передачи адрес сразу удаляется, т.е. передать файл второй раз в обычном режиме не получится (требуется применение отдельного публичного режима). Для управления отдаваемыми и принимаемыми файлами, а также для контроля за передачей данных, на стороне запущенного на системе пользователя сервера предоставляется графический интерфейс.

В новом выпуске:

  • Добавлена возможность не только отдавать свои файлы, но и принимать файлы других пользователей. Для загрузки файлов от других пользователей генерируется отдельный адрес;
  • Реализован публичный режим работы, который позволяет нескольким пользователям загрузить или отправить файлы. По умолчанию по прежнему генерируются одноразовые адреса, которые удаляются сразу после завершения передачи. В публичном режиме адрес не меняется, а прекращение обмена и удаление адреса производится вручную;
  • Комбинация постоянного адреса и режима отправки позволяет создавать простейшие совместные хранилища типа DropBox или организовать анонимую передачу сведений журналистам и правозащитникам, не раскрывая источник утечки данных;
  • Добавлена поддержка третьей версии протокола onion-сервисов;
  • Реализован запуск версии для macOS в режиме sandbox-изоляции;
  • В случае передачи только одного файла отныне не применяется его упаковка в zip-архив (zip формируется только при выборе нескольких файлов или каталогов);
  • Обеспечена полная поддержка Tor-транспорта meek_lite, существенно упрощающего подключение к Tor в странах с жесткой цензурой. Для обхода блокировок используется проброс через облачную платформу Microsoft Azure;
  • Добавлена возможность выбора языка интерфейса и реализован перевод на русский язык;
  • Значительно переработана кодовая база проекта. Для контроля за качеством продукта реализовано unit-тестирование.


  1. Главная ссылка к новости (https://blog.torproject.org/ne...)
  2. OpenNews: Выпуск Seafile 3.1, Dropbox-подобного сервера хранения на основе технологий Git
  3. OpenNews: Основатель QEMU и FFmpeg развивает систему синхронизации файлов VFsync
  4. OpenNews: Первый стабильный релиз открытой P2P-системы синхронизации файлов Syncthing
  5. OpenNews: Проект Tor начал тестирование браузера для платформы Android
  6. OpenNews: Релиз SparkleShare 1.0, программы для синхронизации данных и организации совместного доступа
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50186-tor
Ключевые слова: tor, onion
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аномномномнимус (?), 15:13, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    >> Для обхода блокировок используется проброс через облачную платформу Microsoft Azure;

    Вот такой вот локальный майкрософтокапец с веерными блокировками =)

     
     
  • 2.2, мелкософт (?), 15:16, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • –12 +/
    ну о чем вы? Придет товарищ-майор, попросит - и мы выпилим эту возможность следом за гуглефлейрой.
    А логи (где в козлячьем чудо протоколе отлично виден ваш исходящий ip, заметьте) передадим куда надо.

     
     
  • 3.3, Некто (??), 15:38, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > где в козлячьем чудо протоколе отлично виден ваш исходящий ip, заметьте

    Пришел большой специалист по "The Onion Router" протоколам и открыл нам глаза на то, что в логах tor ноды хранятся исходящие ip.

    Самое поразительное - вещает так уверенно, будто-бы хоть раз в глаза видел эти самые логи.

     
     
  • 4.4, имя (?), 16:00, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а вот кстати да, интересно: действительно ли тор передает оригинальный адрес в запросе к ресурсу?
     
     
  • 5.5, Аноним (5), 16:02, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Лолнет смысл луковицы тогда. Остается просто эмулятор лунных пингов.
     
     
  • 6.9, имя (?), 16:23, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    https://habr.com/en/company/ua-hosting/blog/424187/

    >Итак, кем был этот парень? Он использовал «партизанский» почтовый сервис для разовой отправки электронных писем Guerilla Mail и отправил своё письмо через TOR.
    >Но он не учёл то, что Guerilla Mail помещает оригинальный IP-адрес отправителя в заголовок письма. Например, если вы отправляете письмо из дома, то на нём будет указан IP-адрес вашего домашнего компьютера. На слайде показан пример, где я использовал свой почтовый ящик на irongeek.com, чтобы показать, как это работает. Этот парень подумал об анонимности и использовал TOR, поэтому в его письме был указан IP-адрес сервера TOR. Однако он не учёл, что все узлы TOR, за исключением «мостов», известны и находятся в открытом доступе – они приведены, например, на этом сайте torstatus.blutmagie.de, и легко можно определить, относится ли конкретный компьютер к сети TOR или нет. Если вы не используете «мост», очень легко отследить, кто и откуда присоединился к локальной сети Гарварда и использовал TOR в то время, когда было отправлено письмо с угрозами.

    Тогда я не понял на чем он там спалился? Т.е. ФБР просто прошерстили всех пользователей, который в этот момент имели соединение с каким-то из серверов тора и просто угадали отправителя?

     
     
  • 7.10, Аноним (5), 16:43, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Одновременно с ним сетью TOR в то же время пользовались 10 студентов, и когда ФБР стало их всех допрашивать, то обнаружило против Кима достаточно улик и ему пришлось признаться в содеянном.

    На допросе он спалился. Дернули на допрос всех кто из локалки Гарварда к тору подключался. Все же по ссылке твоей расписано неплохо.  

     
     
  • 8.14, Адмирал Майкл Роджерс (?), 16:58, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, действительно, ФБР часто приходится, как выразилимсь Вы и предыдущий оратор,... текст свёрнут, показать
     
  • 7.30, anon_vasya (?), 20:54, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У него почтовая программа типа outlook или thunderbird добавил заголовок x-forward-from: vasyans-home.dsl-pppoe.superprovider.com(88.77.66.5) прямо в тело письма, а потом тор переправил это письмо неиб@ться зашифрованным способом злоумышленнику.

    Раскрытие ip-адреса через проксируемый высокоуровневый протокол - самая частая ошибка пользователей TOR. Например, вы подключаетесь к web-серверу чере тор, но вместо http://drgjniosdf...onion/index.html открываете что-то вроде http://drgjniosdf...onion/about.html или внимательно анализируете автоматически вставленные сервером поля в тело html-страницы, а там опять-же встречается vasyans-home.dsl-pppoe.superprovider.com(88.77.66.5) - всё TOR пошел по п@зде

     
     
  • 8.57, stalkerdroad (ok), 17:02, 26/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не ошибка это идиотизм В тор нужно выходить из виртуального компьютера Вир... текст свёрнут, показать
     
  • 5.6, мелкософт (?), 16:11, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    для непонятливых - тор-то как раз не передает, для того и брали - но вот obfuscating proxy - ни разу, панимаишь, не тор. Это прямое соединение твой комп - хрень в azure. Потому что только так большой-китайский-хе...фиревалл и можно обойти.
    Оно, разумеется, шифрованное, и китайский товарищ-майор не видит, что именно ты там передаешь.
    Оно прикидывается вебней (для того и брали) - поэтому китайский товарищ-майор не видит и факта того, что нифига не за нашими котиками ты на наш сервер пришел.

    Мы - видим. И, разумеется, согласны на сотрудничество, зачем нам кусать кормящую руку-то?

     
     
  • 6.11, Аноним (11), 16:44, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При желании на примере России - компании обязаны зарегестрировать в России юр... большой текст свёрнут, показать
     
     
  • 7.33, Аноним (33), 22:13, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >при этом большинство его аудитории находится в России и он зарабатывает на ней деньги.

    Это вы telegram с vcuntakte перепутали.

     
  • 6.16, Аноним (16), 17:09, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Этоже называется Ханипот.
     
  • 6.25, Shevchuk (ok), 19:47, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > товарищ-майор не видит и факта того, что нифига не за нашими котиками ты на наш сервер пришел.
    > Мы - видим. И, разумеется, согласны на сотрудничество

    Вы видите, что (наверное) не за котиками, но не видите — за чем. После вас — луковичная маршрутизация. Стало быть, передавать майору особо нечего. Такой-то IP использовал сеть Tor тогда-то, на этом всё. Теоретически можно ещё объём траффика посчитать. Настолько общие сведения были бы у майора и без meek.

     
     
  • 7.28, пох (?), 20:53, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    так они майору сдадут просто список конечных пользователей тора, без кто куда и зачем.
    А флешечка с cp у майора своя есть, он ее им сам и принесет, и "найдет" при обыске. Ну или просто паяльник - и все сами расскажут зачем им был тор.

    это у фебере какие-то странные методы с непременным требованием найти виноватого. А у майора - план по отлову. У китайского побольше, у нашего поскромнее.

    > Настолько общие сведения были бы у майора и без meek.

    без ему надо стараться по косвенным признакам детектить - а тут всех на блюдечке принесут.

     
     
  • 8.40, Аноним (40), 04:47, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лол, что ты несешь У майора и провайдера на блюдечке есть инфа о том, что какие... текст свёрнут, показать
     
     
  • 9.48, пох (?), 13:35, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    через дев-атcpал полученная у майора и провайдера при использовании тобой meek ... текст свёрнут, показать
     
  • 4.41, Вася (??), 07:32, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эффект Даннинга — Крюгера, сэр.
     

  • 1.12, YetAnotherOnanym (ok), 16:45, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > организовать анонимую передачу сведений журналистам и правозащитникам

    Fake News одобряют.

     
     
  • 2.21, Аноним (21), 18:59, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Fake News

    На fake agent фапал, на fake agent тоже передергивал. А вот это что-то новенькое!

     
  • 2.26, Тот_Самый_Анонимус (?), 20:05, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для них и делают.
    А то кто-то ещё верит что другие заинтересованны дело в анонимности и защищённости их жизни. Если вы что-то получаете бесплатно, значит товар — вы.
     
     
  • 3.29, пох (?), 20:54, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    а им зачем, они же прямо на рабочем месте из пальца высасывают (или с потолка берут?)

     
     
  • 4.42, YetAnotherOnanym (ok), 08:14, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Затем, что опубликовав свои контакты в OnionShare 2, "Служба новостей" может делать вид, что высосанные из пальца сюжеты присланы анонимными активистами.
     
     
  • 5.49, пох (?), 13:36, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как будто они не могут делать вид, ничего никуда не публикуя?

     

  • 1.13, nc (ok), 16:49, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отличная новость!
     
  • 1.15, Аноним (16), 17:00, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Защищенный и при этом на Python? Что то не так в консерватории.
     
     
  • 2.18, Аноним (18), 17:12, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Python не использует указатели и адресную арифметику. В этом смысле, может оказаться даже безопасней Rust.
     

  • 1.19, nc (ok), 18:22, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Решил затестить, погонять сам себе файлы через нее. На прием (из торбраузера в клиент) файлы передались. А вот обратно - клиент крэшнулся:( Причем крэш стабильный, два раза пробовал.
    Ну и замеченные неудобства.
    * крайне неочевидно, почему в "режиме приема" исчезает вкладка "отправка", а в режиме отправки - вкладка "прием". Юзкейс одновременной отправки и приема не предусмотрен? Было бы лучше, если бы создавалась просто некая общая шара в торе, куда можно и закачивать и скачивать.
    * когда выбран режим, изменение настроек уже недоступно
    * при смене режима старые url-адреса становятся недействительными, хотя программу я еще не закрывал. Ну наверное так задумано, но неудобно.
     
     
  • 2.23, Ключевский (?), 19:46, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >  просто некая общая шара в торе

    Ну подними ты Nextcloud с доступом через .onion, подними sftp, подними smb, бляха-муха. Все что работает по tcp ты можешь пробросить через тор одной строчкой в /etc/tor/torrc. У меня вот одна из домашних Orange Pi доступна по ssh используя .onion-псевдодомен, например.

     
     
  • 3.44, OldMonster (ok), 12:27, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >...onion-псевдодомен...

    т.е. Вы это псевдо-домен купили?
    Или есть (не найденная мной) возможность бесплатной регистрации union-домена?

     
     
  • 4.45, Ключевский (?), 12:53, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Рандомный генерируется просто самим демоном tor, с заданным словом можно подобрать ключ при помощи https://github.com/lachesis/scallion (есть еще работающий на CPU, но он может годами подбирать)
    Вот, например, opennetfwhh2wwb4.onion сгенерил меньше чем за минуту.
     
  • 4.54, Валик (?), 06:59, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так имеется же.
    Можно сказать условно-бесплатная, ибо на домашних мощностях за приемлемое время возможно только первые 5-6 букв домена сгенерировать, а дальше будет рандом.
    Тем не менее, это позволяет легко генерить домены, вида thisatest5hg45fgtr7.onion..
    Можно и больше значимых символов нагенерить. Но уже за деньги на фермах - есть соответствующие сервисы....
     
     
  • 5.55, Ключевский (?), 16:07, 23/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > только первые 5-6 букв домена сгенерировать, а дальше будет рандом.

    opennet это уже 7 букв и я выше написал, что получилось с ним в начале адреса подобрать на моем десктопе за минуту. Думаю, что если вместо моей убогой 1060 6Gb будет скажем 1080, то и на 10 букв будут подбираться за минуту-другую

     

  • 1.24, anonymous (??), 19:47, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Проект Tor
    >>GPLv3

    чего это они? они же бсдюки по жизни.

     
  • 1.27, Аноним (27), 20:32, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "позволяющей безопасно и анонимно передавать и получать файлы" - еще остались те  кто в современном мире еще верит в подобную чущь ?
     
     
  • 2.31, пох (?), 20:56, 21/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    я верю. Вот вчера подбросил флэшку (тщательно стерев отпечатки платочком) на стол в соседней конторе. Камер вроде нет - анонимно. Никто не спалил - безопасно.

     
     
  • 3.38, камера_видеонаблюдения (?), 03:14, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вернули потом или как обычно?
     
     
  • 4.50, пох (?), 13:37, 22/02/2019 [^] [^^] [^^^] [ответить]  
  • +/
    эээ... как они ее вернут, если никто не спалил? Нет уж, нет уж - не моя, и даже не похожа. Сами потом объясняют пусть товарищмайору, откуда у них такие файлы.
     

  • 1.32, Аноним (33), 21:55, 21/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >где slug - два случайных слова для усиления защиты
    >grit-unpainted
    >// chosen by fair dice roll.
    >// guaranteed to be random.
     
  • 1.56, Аноним (56), 06:48, 25/02/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Еще одна дырка для ворования кукишей и файлов пользователя
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру