Tor Browser 8.0 gebruikt captcha voor verzoek om met Bridge blokkade te omzeilen

The Tor Project heeft Tor Browser 8.0 uitgebracht, met daarin een nieuwe manier van het verzoeken om een Bridge. Die is nodig als gebruikers de browser gebruiken op een netwerk, waar Tor is geblokkeerd.

Als gebruikers in Tor Browser 8.0 een Bridge willen, moeten ze een captcha invullen, schrijft de browsermaker. In oudere versies vereist het verkrijgen van een Bridge het sturen van een mail of het gaan naar een website, wat met een blokkade op het netwerk zonder anonimisering een risicovolle operatie kan zijn. The Tor Project hoopt met de maatregel meer mensen die leven onder censuur van een browser te voorzien waarmee ze naar alle websites kunnen. Een Bridge is een relay die niet in de Tor-directory staat, zodat netwerken ze niet kunnen blokkeren.

De nieuwe versie is gebaseerd op Firefox 60 en heeft daarnaast een nieuwe interface met nieuw proces na de eerste start. Daarin zit een betere uitleg van de functies en de werking van Tor. De browser is niet foutloos: WebGL werkt niet in de browser, zo laat de ontwikkelaar weten.

Reacties (28)

Kalief 5 september 2018 22:41

Hoe weet TOR waar een bridge zit als die niet in de Tor-directory staat? Daar moet dan toch ergens een lijstje van worden bijgehouden die naar de client moet worden gestuurd, en dan dus onderschept kan worden?

Heedless @Kalief • 5 september 2018 23:36

Kan de tekst niet kopiëren op mijn telefoon, maar rechtsonder pagina 2 van deze PDF staat hoe het werkt.
In het kort is er geen openbare, complete lijst van alle bridges, en worden de losse gegevens uitgegeven op een manier waarop het (als alles goed gaat) niet mogelijk is een noemenswaardige hoeveelheid in handen te krijgen.

link naar PDF: Dissecting Tor Bridges

[Reactie gewijzigd door Heedless op 23 juli 2024 15:39]

t link 5 september 2018 21:20

zijn deze captcha's niet vrij makkelijk te lezen door machines of vergis ik me?

Horatius @t link • 5 september 2018 21:23

Nee dit is altijd nog heel lastig zeker omdat elke keer het lettertype enzo verandert, daarom worden ze overal gebruikt tegen bots.

SilentLucidity @Horatius • 5 september 2018 21:44

Dat is toch niet compleet het geval, aangezien de bekendste Captcha (Die van Google, ReCaptcha) al jaren geleden is afgestapt van text-based verification. Dat kwam wel omdat ze een slim 'onklikbaar door bots' systeem ontwikkeld hadden. In theorie dus moeilijker te hacken, maar makkelijker op te lossen. Maar toch implementeerde Google een safetynet, waarbij je patronen moet herkennen (Zoals het aanklikken van alle afbeeldingen met auto's of verkeersborden). Dat word met de komst van AI & machine learning dus ook veel makkelijker... Waar ik wel super excited over ben, is Recaptcha v3. https://www.xda-developers.com/recaptcha-v3-beta/
Het is momenteel nog in beta (wel vergevorderd), maar Google belooft daar compleet geen challenges meer. Dus gewoon het checkboxje aanklikken en klaar is kees.

Yamotek @SilentLucidity • 5 september 2018 21:53

Daarbij gebruikt Google de captcha systemen ook deels om op te lossen wat met hun object herkenning algoritmes niet herkend word.

Hierdoor kan het wel eens voorkomen dat je een afbeelding met 'een auto' niet mee hoeft te nemen omdat de software niet herkent of daar een auto op staat of niet. (Daarom moet je altijd meerdere afbeeldingen nagaan, een paar zijn de captcha zelf, een paar om het algoritme van Google te trainen).

Slim bedacht maar geeft toch wel een naar gevoel dat je door Google ook nog eens gratis aan het werk wordt gezet..

Lang verhaal kort, Google heeft dus ook andere beweegredenen om naar het andere systeem over te stappen.

SilentLucidity @Yamotek • 5 september 2018 22:12

Het klopt dat wij allemaal meewerken aan het object algorithme van Google, jaren geleden zelfs gebruikt voor straatnummers in Google Maps maar daarvoor overstappen op v3, waar je dus niet meer auto's of huisnummers hoeft te herkennen, werkt dan juist toch niet mee...?

Yamotek @SilentLucidity • 5 september 2018 22:40

Klopt, ik gaf alleen aan dat het 'botproof' zijn voor Google niet de enige reden 'hoefde' te zijn. Het blijft speculeren (want ik weet de interne bedrijfsvoering bij Google niet) en voor de v3 kan de keuze wel eens heel anders zijn. We gaan het zien

SCS2 @Yamotek • 6 september 2018 18:33

Ìk heb inderdaad al meerdere gehad dat ik 3, 5, of 10x de reeks door moest, terwijl ik ze toch echt allemaal had aangeklikt.
Dan begin je inderdaad te denken dat er iets anders speelt.....

Olaf van der Spek @SilentLucidity • 5 september 2018 21:57

Recaptcha v3

Was er niet al zoiets? https://developers.google.com/recaptcha/docs/invisible

SilentLucidity @Olaf van der Spek • 5 september 2018 22:16

Die was invisble, dus zonder het klikken in het "I'm not a robot / ik ben geen robot" vakje, maar wel challenges if needed. v3 heeft dus helemaal geen challenges meer (afaik)

RoestVrijStaal @SilentLucidity • 5 september 2018 23:59

Dat is toch niet compleet het geval, aangezien de bekendste Captcha (Die van Google, ReCaptcha) al jaren geleden is afgestapt van text-based verification. Dat kwam wel omdat ze een slim 'onklikbaar door bots' systeem ontwikkeld hadden. In theorie dus moeilijker te hacken, maar makkelijker op te lossen. Maar toch implementeerde Google een safetynet, waarbij je patronen moet herkennen (Zoals het aanklikken van alle afbeeldingen met auto's of verkeersborden). Dat word met de komst van AI & machine learning dus ook veel makkelijker...

Ik heb toch het idee dat ik de AI zelf ben, omdat ik bij elke ReCaptcha bijna continu door 4 à 5 challenges heen moet. Vooral die met de verdwijnende plaatjes is het meest time-consuming dat ik zoveel mogelijk websites ontwijk die ReCaptcha gebruiken.

Waar ik wel super excited over ben, is Recaptcha v3. https://www.xda-developers.com/recaptcha-v3-beta/
Het is momenteel nog in beta (wel vergevorderd), maar Google belooft daar compleet geen challenges meer. Dus gewoon het checkboxje aanklikken en klaar is kees.

Ik vrees dat dit enkel voor de mensen is weggelegd die elke mogelijke tracking van Google niet blokkeren.

Azerox @RoestVrijStaal • 6 september 2018 01:45

Vreemd, meestal klik ik "ik ben geen robot' en klaar.
Soms heb ik die controles maar die lijken dan ook random te zijn.

Bahmi @RoestVrijStaal • 6 september 2018 09:28

Ik had daar ook last van, je lost dan die recaptcha te efficient op door te weinig muisbewegingen te maken, wat ze dan zien als een robot.

Mijn oplossing is met je muis beweging spammen als je op de checkbox klikt, dan heb je veel grotere kans dat je niet nog verdere challenges moet doen. En als je er dan een krijgt dan gewoon je muis blijven rondspammen, dan is de kans dat je daarna nog meer challenges moet doen ook kleiner.

Het klinkt stom maar probeer maar, ik ging van 95%+ dat ik een challenge moest doen tot minder dan 20%.

Verwijderd @SilentLucidity • 6 september 2018 01:03

Ik zag laatst een filmpje van een robot die de bekendste captcha ( “ I am not a robot ” ) gewoon oploste door een kruisje in te vullen.

Weg 50 jaar Artificial Intelligence!

FireStarter @Horatius • 5 september 2018 23:05

Nee hoor, robots kunne het oplossen: https://www.youtube.com/w...7_ZVV1WBuGU&start_radio=1

GekkePrutser 5 september 2018 21:35

De browser is niet foutloos: WebGL werkt niet in de browser, zo laat de ontwikkelaar weten.

WebGL moet je ook helemaal niet willen als Tor gebruiker want dat kan gebruikt worden voor identificatie door de Canvas uit te lezen.

Chuk @GekkePrutser • 5 september 2018 21:39

Daarom maximaliseer je ook het tor venster niet, kunnen ze je schermresolutie niet bepalen wat mee in je browsingfingerprint wordt gebruikt.

ThePendulum @Chuk • 5 september 2018 22:05

Moet zeggen dat ik dat altijd een beetje onnozel vond... jongens, hij heeft een schermresolutie van 1920×1080, nu hebben we 'm!

Heedless @ThePendulum • 5 september 2018 23:42

Als je 100 van die kleine, op zich zelf onnozele dingen weet te combineren wordt het toch een leuke fingerprint.

Beetje hoe zeggen dat iemand blond is niet zo veel betekend. Maar blond met x soort ogen, oren, neus, lengte, shirt, jas, broek, schoenen, fiets, hondje, pet, bril, accent, geur, beugel, etc. kan ontzettend specifiek worden. Ook al zijn er veel mensen die enkele van die eigenschappen delen, de combinatie kan uiteindelijk (relatief) uniek zijn.

[Reactie gewijzigd door Heedless op 23 juli 2024 15:39]

Niet Henk @ThePendulum • 5 september 2018 22:26

Behalve als je dus geen schermresolutie van 1920x1080 of 1366x768 hebt.

Zit je bijvoorbeeld op 3000x2000, dan heb je misschien een vijftal merken die dat leveren, en een heel kleine fractie van alle gebruikers.

ultimasnake @ThePendulum • 5 september 2018 23:17

2880x1800 is volgens mij uniek aan macbook pro's. Daarnaast vermoed ik niet eens dat het exact fullscreen is maar misschien iets als een resize op een bepaalde manier? Als ik iets full-window doe op mijn mac is het 2880x1800 en vervolgens heb ik de taakbalk links a 33 pixels breed en de menu balk boven is altijd 20 pixels hoog... denk dat er toch wel wat uit af te leiden valt, in ieder geval samen met info die al bekend is over je computer zelfs via Tor? (geen idee wat verder eigenlijk)

Toff @Chuk • 5 september 2018 23:45

Bij mij verschijnt er een melding, of ik canvas uitlezen wil toestaan?

GekkePrutser @Chuk • 6 september 2018 02:15

De canvas ID is veel unieker dan de schermresolutie bij WebGL. Het scherm niet maximaliseren heeft hier geen invloed op: Canvas Fingerprinting

Onder andere de GPU en de driver hebben hier invloed op.

Nu vraagt Tor Browser sowieso of je dit wil toestaan maar ik heb het liever helemaal uit. Want dat soort dingen lopen altijd achter op de trucjes die gevonden worden.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 15:39]

Ed Vertijsment @GekkePrutser • 6 september 2018 11:41

Je kan dat ook zonder WebGL? 2dcontext?

casecase 5 september 2018 22:41

Dus als je anoniem wilt blijven, moet je geen bijzondere hardware gebruiken... Hide in the masses.

Rev-anche @casecase • 6 september 2018 01:17

Dus als je anoniem wilt blijven, moet je geen bijzondere hardware gebruiken... Hide in the masses.

Ja, maar ook weer nee!

Stel je voor, dat je een Windows snelheidstesje uitvoerd?
Je weet wel memory 7.8 proc 9.0, etcetera.
Dan worden die gegevens opgeslagen, inclusief Mac adress, ip nummer, en provider!
In principe is dat een DNA profiel.
Met TOR, veranderd er eigenlijk niet veel aan als je bijvoorbeeld zou inloggen op tweakers.
Immers is met jouw password ingelogd!
Dat geld eigenlijk ook voor VPN gebruikers, persoonlijk maakte ik die fout ook.

Ergo, zolang je geen fouten maakt ben je veilig.
Tot nu toe, ken ik geen mensen die geen fouten maken!?

Oh ja cookies, zijn dodelijk!

Coockie togevoegd

[Reactie gewijzigd door Rev-anche op 23 juli 2024 15:39]

_Thanatos_ @Rev-anche • 10 september 2018 02:54

Oh ja cookies, zijn dodelijk!

Ja, dus cookies en andere opslag wordt gewist bij het afsluiten van de browser, of het openen van een nieuwe tor-route. Tenminste ik hoop dat dat het geval is. Nergens met persoonlijke accounts inloggen. Nooit 3rd-party cookies toelaten. Sterker nog, ik zou zelfs ALLE 3rd-party content op websites blokkeren, just in case. Javascript ook blokkeren.

Dat geld eigenlijk ook voor VPN gebruikers, persoonlijk maakte ik die fout ook.

GEEN VPN GEBRUIKEN
VPN is juist funest voor je anonimisatie. Je logt er immers met een persoonlijk account op in, dus de VPN provider weet dat je aan het torren bent, en je bent alles via één host aan het sluizen. Brr! Het beste kun je gebruikmaken van een (semi-)openbaar wifi waar je niet op in hoeft te loggen met een persoonlijk account. Bijvoorbeeld de wifi van een park, hotel, vliegveld, etc.

Hide in the masses

Absoluut. Je bent anoniem door gebrek aan uniekheid. Ook alles wat met HTTP-headers meegestuurd wordt, geeft je een stukje uniekheid terug. Schermresolutie zit daar niet in, maar bijv wel je OS, taal, en exacte browserversie.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 15:39]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (28)

Sorteer op:

Weergave: