Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Tor Browser 8.0 gebruikt captcha voor verzoek om met Bridge blokkade te omzeilen

The Tor Project heeft Tor Browser 8.0 uitgebracht, met daarin een nieuwe manier van het verzoeken om een Bridge. Die is nodig als gebruikers de browser gebruiken op een netwerk, waar Tor is geblokkeerd.

Als gebruikers in Tor Browser 8.0 een Bridge willen, moeten ze een captcha invullen, schrijft de browsermaker. In oudere versies vereist het verkrijgen van een Bridge het sturen van een mail of het gaan naar een website, wat met een blokkade op het netwerk zonder anonimisering een risicovolle operatie kan zijn. The Tor Project hoopt met de maatregel meer mensen die leven onder censuur van een browser te voorzien waarmee ze naar alle websites kunnen. Een Bridge is een relay die niet in de Tor-directory staat, zodat netwerken ze niet kunnen blokkeren.

De nieuwe versie is gebaseerd op Firefox 60 en heeft daarnaast een nieuwe interface met nieuw proces na de eerste start. Daarin zit een betere uitleg van de functies en de werking van Tor. De browser is niet foutloos: WebGL werkt niet in de browser, zo laat de ontwikkelaar weten.

Door Arnoud Wokke

Redacteur mobile

05-09-2018 • 21:16

28 Linkedin Google+

Reacties (28)

Wijzig sortering
Hoe weet TOR waar een bridge zit als die niet in de Tor-directory staat? Daar moet dan toch ergens een lijstje van worden bijgehouden die naar de client moet worden gestuurd, en dan dus onderschept kan worden?
Kan de tekst niet kopiren op mijn telefoon, maar rechtsonder pagina 2 van deze PDF staat hoe het werkt.
In het kort is er geen openbare, complete lijst van alle bridges, en worden de losse gegevens uitgegeven op een manier waarop het (als alles goed gaat) niet mogelijk is een noemenswaardige hoeveelheid in handen te krijgen.

link naar PDF: Dissecting Tor Bridges

[Reactie gewijzigd door Heedless op 5 september 2018 23:37]

zijn deze captcha's niet vrij makkelijk te lezen door machines of vergis ik me?
Nee dit is altijd nog heel lastig zeker omdat elke keer het lettertype enzo verandert, daarom worden ze overal gebruikt tegen bots.
Dat is toch niet compleet het geval, aangezien de bekendste Captcha (Die van Google, ReCaptcha) al jaren geleden is afgestapt van text-based verification. Dat kwam wel omdat ze een slim 'onklikbaar door bots' systeem ontwikkeld hadden. In theorie dus moeilijker te hacken, maar makkelijker op te lossen. Maar toch implementeerde Google een safetynet, waarbij je patronen moet herkennen (Zoals het aanklikken van alle afbeeldingen met auto's of verkeersborden). Dat word met de komst van AI & machine learning dus ook veel makkelijker... Waar ik wel super excited over ben, is Recaptcha v3. https://www.xda-developers.com/recaptcha-v3-beta/
Het is momenteel nog in beta (wel vergevorderd), maar Google belooft daar compleet geen challenges meer. Dus gewoon het checkboxje aanklikken en klaar is kees.
Daarbij gebruikt Google de captcha systemen ook deels om op te lossen wat met hun object herkenning algoritmes niet herkend word.

Hierdoor kan het wel eens voorkomen dat je een afbeelding met 'een auto' niet mee hoeft te nemen omdat de software niet herkent of daar een auto op staat of niet. (Daarom moet je altijd meerdere afbeeldingen nagaan, een paar zijn de captcha zelf, een paar om het algoritme van Google te trainen).

Slim bedacht maar geeft toch wel een naar gevoel dat je door Google ook nog eens gratis aan het werk wordt gezet..

Lang verhaal kort, Google heeft dus ook andere beweegredenen om naar het andere systeem over te stappen.
Het klopt dat wij allemaal meewerken aan het object algorithme van Google, jaren geleden zelfs gebruikt voor straatnummers in Google Maps maar daarvoor overstappen op v3, waar je dus niet meer auto's of huisnummers hoeft te herkennen, werkt dan juist toch niet mee...?
Klopt, ik gaf alleen aan dat het 'botproof' zijn voor Google niet de enige reden 'hoefde' te zijn. Het blijft speculeren (want ik weet de interne bedrijfsvoering bij Google niet) en voor de v3 kan de keuze wel eens heel anders zijn. We gaan het zien :)
k heb inderdaad al meerdere gehad dat ik 3, 5, of 10x de reeks door moest, terwijl ik ze toch echt allemaal had aangeklikt.
Dan begin je inderdaad te denken dat er iets anders speelt.....
Die was invisble, dus zonder het klikken in het "I'm not a robot / ik ben geen robot" vakje, maar wel challenges if needed. v3 heeft dus helemaal geen challenges meer (afaik)
Dat is toch niet compleet het geval, aangezien de bekendste Captcha (Die van Google, ReCaptcha) al jaren geleden is afgestapt van text-based verification. Dat kwam wel omdat ze een slim 'onklikbaar door bots' systeem ontwikkeld hadden. In theorie dus moeilijker te hacken, maar makkelijker op te lossen. Maar toch implementeerde Google een safetynet, waarbij je patronen moet herkennen (Zoals het aanklikken van alle afbeeldingen met auto's of verkeersborden). Dat word met de komst van AI & machine learning dus ook veel makkelijker...
Ik heb toch het idee dat ik de AI zelf ben, omdat ik bij elke ReCaptcha bijna continu door 4 5 challenges heen moet. Vooral die met de verdwijnende plaatjes is het meest time-consuming dat ik zoveel mogelijk websites ontwijk die ReCaptcha gebruiken.
Waar ik wel super excited over ben, is Recaptcha v3. https://www.xda-developers.com/recaptcha-v3-beta/
Het is momenteel nog in beta (wel vergevorderd), maar Google belooft daar compleet geen challenges meer. Dus gewoon het checkboxje aanklikken en klaar is kees.
Ik vrees dat dit enkel voor de mensen is weggelegd die elke mogelijke tracking van Google niet blokkeren.
Vreemd, meestal klik ik "ik ben geen robot' en klaar.
Soms heb ik die controles maar die lijken dan ook random te zijn.
Ik had daar ook last van, je lost dan die recaptcha te efficient op door te weinig muisbewegingen te maken, wat ze dan zien als een robot.

Mijn oplossing is met je muis beweging spammen als je op de checkbox klikt, dan heb je veel grotere kans dat je niet nog verdere challenges moet doen. En als je er dan een krijgt dan gewoon je muis blijven rondspammen, dan is de kans dat je daarna nog meer challenges moet doen ook kleiner.

Het klinkt stom maar probeer maar, ik ging van 95%+ dat ik een challenge moest doen tot minder dan 20%.
Ik zag laatst een filmpje van een robot die de bekendste captcha ( “ I am not a robot ” ) gewoon oploste door een kruisje in te vullen.

Weg 50 jaar Artificial Intelligence!
De browser is niet foutloos: WebGL werkt niet in de browser, zo laat de ontwikkelaar weten.
WebGL moet je ook helemaal niet willen als Tor gebruiker want dat kan gebruikt worden voor identificatie door de Canvas uit te lezen.
Daarom maximaliseer je ook het tor venster niet, kunnen ze je schermresolutie niet bepalen wat mee in je browsingfingerprint wordt gebruikt.
Moet zeggen dat ik dat altijd een beetje onnozel vond... jongens, hij heeft een schermresolutie van 19201080, nu hebben we 'm!
Als je 100 van die kleine, op zich zelf onnozele dingen weet te combineren wordt het toch een leuke fingerprint.

Beetje hoe zeggen dat iemand blond is niet zo veel betekend. Maar blond met x soort ogen, oren, neus, lengte, shirt, jas, broek, schoenen, fiets, hondje, pet, bril, accent, geur, beugel, etc. kan ontzettend specifiek worden. Ook al zijn er veel mensen die enkele van die eigenschappen delen, de combinatie kan uiteindelijk (relatief) uniek zijn.

[Reactie gewijzigd door Heedless op 5 september 2018 23:43]

Behalve als je dus geen schermresolutie van 1920x1080 of 1366x768 hebt.

Zit je bijvoorbeeld op 3000x2000, dan heb je misschien een vijftal merken die dat leveren, en een heel kleine fractie van alle gebruikers.
2880x1800 is volgens mij uniek aan macbook pro's. Daarnaast vermoed ik niet eens dat het exact fullscreen is maar misschien iets als een resize op een bepaalde manier? Als ik iets full-window doe op mijn mac is het 2880x1800 en vervolgens heb ik de taakbalk links a 33 pixels breed en de menu balk boven is altijd 20 pixels hoog... denk dat er toch wel wat uit af te leiden valt, in ieder geval samen met info die al bekend is over je computer zelfs via Tor? (geen idee wat verder eigenlijk)
Bij mij verschijnt er een melding, of ik canvas uitlezen wil toestaan?
De canvas ID is veel unieker dan de schermresolutie bij WebGL. Het scherm niet maximaliseren heeft hier geen invloed op: Canvas Fingerprinting

Onder andere de GPU en de driver hebben hier invloed op.

Nu vraagt Tor Browser sowieso of je dit wil toestaan maar ik heb het liever helemaal uit. Want dat soort dingen lopen altijd achter op de trucjes die gevonden worden.

[Reactie gewijzigd door GekkePrutser op 6 september 2018 02:16]

Je kan dat ook zonder WebGL? 2dcontext?
Dus als je anoniem wilt blijven, moet je geen bijzondere hardware gebruiken... Hide in the masses.
Dus als je anoniem wilt blijven, moet je geen bijzondere hardware gebruiken... Hide in the masses.
Ja, maar ook weer nee!

Stel je voor, dat je een Windows snelheidstesje uitvoerd?
Je weet wel memory 7.8 proc 9.0, etcetera.
Dan worden die gegevens opgeslagen, inclusief Mac adress, ip nummer, en provider!
In principe is dat een DNA profiel.
Met TOR, veranderd er eigenlijk niet veel aan als je bijvoorbeeld zou inloggen op tweakers.
Immers is met jouw password ingelogd!
Dat geld eigenlijk ook voor VPN gebruikers, persoonlijk maakte ik die fout ook.

Ergo, zolang je geen fouten maakt ben je veilig.
Tot nu toe, ken ik geen mensen die geen fouten maken!?

Oh ja cookies, zijn dodelijk!

Coockie togevoegd

[Reactie gewijzigd door Rev-anche op 6 september 2018 01:20]

Oh ja cookies, zijn dodelijk!
Ja, dus cookies en andere opslag wordt gewist bij het afsluiten van de browser, of het openen van een nieuwe tor-route. Tenminste ik hoop dat dat het geval is. Nergens met persoonlijke accounts inloggen. Nooit 3rd-party cookies toelaten. Sterker nog, ik zou zelfs ALLE 3rd-party content op websites blokkeren, just in case. Javascript ook blokkeren.
Dat geld eigenlijk ook voor VPN gebruikers, persoonlijk maakte ik die fout ook.
GEEN VPN GEBRUIKEN
VPN is juist funest voor je anonimisatie. Je logt er immers met een persoonlijk account op in, dus de VPN provider weet dat je aan het torren bent, en je bent alles via n host aan het sluizen. Brr! Het beste kun je gebruikmaken van een (semi-)openbaar wifi waar je niet op in hoeft te loggen met een persoonlijk account. Bijvoorbeeld de wifi van een park, hotel, vliegveld, etc.
Hide in the masses
Absoluut. Je bent anoniem door gebrek aan uniekheid. Ook alles wat met HTTP-headers meegestuurd wordt, geeft je een stukje uniekheid terug. Schermresolutie zit daar niet in, maar bijv wel je OS, taal, en exacte browserversie.

[Reactie gewijzigd door _Thanatos_ op 10 september 2018 03:00]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True