Tor-versie Twitter is offline na verlopen certificaat

De Tor-site van sociaal medium Twitter is offline. Het certificaat is verlopen en het lijkt erop dat het bedrijf geen interesse heeft om dat te vernieuwen. De Tor-versie van Twitter heeft bijna een jaar bestaan.

Het onion-domein werkt niet meer en het certificaat verliep maandag, schrijft The Verge. The Tor Project heeft contact gezocht met Twitter voorafgaand aan het verlopen van het certificaat, maar er bleek geen interesse om het te vernieuwen. Twitter is daarmee niet langer bereikbaar via het onion-domein en is vanuit Tor-browsers alleen nog via de reguliere url te benaderen.

Twitter bracht de Tor-versie vorig jaar online om gebruikers de mogelijkheid te geven censuur te omzeilen in landen als China en Rusland. Met Tor, voluit The Onion Router, wordt internetverkeer via verschillende tunnels geleid om het achterhalen van het internetverkeer te bemoeilijken. Concurrent Facebook kwam al in 2014 met zijn eigen onion-url.

Tor Rusland

Reacties (59)

Alxndr

8 maart 2023 07:32

Wat is precies het verschil met de gewone Url in de tor browser te gebruiken wordt je als gebruiker dan ineens minder beschermd?

GertMenkel

Browsers

@Alxndr • 8 maart 2023 07:47

Tor exit relays zijn trager in gebruik en hebben als bijkomend nadeel dat je een extra laag beveiliging mist omdat de exit node het verkeer naar de eindserver gewoon kan lezen. Ook blokkeert zo'n beetje elk antibotnetwerk Tor exit nodes.

Ook vergroot je de kans op spionage. Het is bekend dat inlichtingendiensten grootschalig exitnodes beheren waarmee de nodige correlaties kunnen worden gelegd. Bij relay nodes zijn die correlatieaanvallen minder praktisch, plus ze kosten ook nog een flinke duit extra en je kunt met trucs als het injecteren van Javascript in HTTP-pagina's geen mensen meer traceren als het HTTP-verzoek als door Tor versleuteld wordt.

Zonder onion is Tor nog steeds veilig genoeg als je gewoon contact met Twitter wilt, maar de extra laag beveiliging is gewoon een nice to have. Het scheelt Twitter ook dat ze minder IP-adressen in de botuitzonderingenlijsten hoeven te stoppen als ze abuselijsten van derden gebruiken.

Dylan_R @GertMenkel • 8 maart 2023 08:57

Het is bekend dat inlichtingendiensten grootschalig exitnodes beheren waarmee de nodige correlaties kunnen worden gelegd

Heb je daar toevallig een source van? Klinkt eigenlijk wel interresant.

GertMenkel

Browsers

@Dylan_R • 8 maart 2023 11:27

Wie exact de exit nodes runt, is altijd onduidelijk. Er zijn grote aandeelhouders gevonden die veel exit nodes draaien. Of dit een vrijgevige rijkaard is die de privacy van het internet wil beschermen of een inlichtingendienst zullen we nooit weten, maar ik zet mijn geld in op iets van een overheid.

De NSA monitor de sowieso exit nodes op netwerkniveau maar ze kunnen dat, zolang TLS gebruikt wordt, tegenwoordig minder effectief toepassen.

Dan heb je nog het verhaal van onze eigen AIVD die een onderzoeker intimideerde, waar twee agenten onder valse naam iemand probeerde te rekruteren om onder andere te spioneren bij hacker spaces, en ook voorstelde om diens netwerkje van Tor nodes uit te breiden.

Servers zijn goedkoop, helemaal voor een overheid, en met aftaprecht en een aardige hoeveelheid servers kun je makkelijk criminelen en andere ongewenste elementen in de samenleving oppakken. Natuurlijk kan het zijn dat onze AIVD/MIVD en al onze buitenlandse concurrentie op dat gebied zich afzijdig houden van Tor. Ik acht de kans absoluut minimaal, ik zou het heel dom vinden van een inlichtingendienst als ze hier niet eens een poging tot zouden doen.

MrMonkE @Dylan_R • 8 maart 2023 09:35

Ik verwacht bij dit soort netwerken net als bij VPNs dat deze veelal door overheden of overheidsinstanties worden beheerd met als doel informatie vergaren. Net als sociale netwerken

xorpd @Dylan_R • 8 maart 2023 13:48

Je kunt het beredeneren: doordat er zoveel illegaal verkeer door een exit-node gaat, kunnen alleen mensen en organisaties die boven de wet staan dit volhouden -> inlichtingendiensten dus.

gerwim @GertMenkel • 8 maart 2023 08:56

Een exit node kan niet het verkeer lezen. Metadata, sure. Maar als je Twitter via HTTPS bezoekt kunnen ze geen MITM aanval uitvoeren.

GertMenkel

Browsers

@gerwim • 8 maart 2023 11:13

Je kunt met TLS nog allerlei side channels lezen. Dingen als SNI maken het op zijn minst duidelijk wat je aan het doen bent en dingen als TLS session cookies kunnen tussen verbindingen je sessie identificeren.

MitM is alleen onmogelijk bij versleuteld verkeer, inderdaad. Helaas zijn er meer dan genoeg websites die (per ongeluk) nog inhoud over HTTP laden. Ook Twitter heeft hier, op bepaalde URLs, in het verleden last van gehad. Als je je browser instelt op HTTP only modus, ben je daar als het goed is tegen beschermd, maar dan kun je veel websites weer niet bezoeken (want letsencrypt aanzetten blijft blijkbaar een uitdaging voor sommige bedrijven).

Je kunt vertrouwen dat Twitter nooit mixed content zal laden op hun website, maar als je via Tor werkt wil je waarschijnlijk voorzichtig zijn waar mogelijk.

scholtnp @GertMenkel • 8 maart 2023 12:24

...meer dan genoeg websites die (per ongeluk) nog inhoud over HTTP laden.

Wordt dat ook niet gedaan omdat men voor de grotere en statische inhoud gebruik maakt van lokale content delivery networks? Vlotter laden ten koste van privacy, security... hmm.

GertMenkel

Browsers

@scholtnp • 8 maart 2023 13:27

Ik kan me niet voorstellen dat dat nog significant uitmaakt. HTTP/2 en nieuwer zijn voor content delivery veel efficiënter dan HTTP 1.1 en kunnen alleen versleuteld werken met browsers. Daarnaast staan browsers het normaal niet tot om de meeste bronnen over HTTP in te laden als de pagina zelf via HTTPS binnenkomt. Afbeeldingen en video mogen geloof ik nog afhankelijk van je CSP-headers, maar het is maar de vraag of dat efficiënter is dan HTTP/2.

xorpd @GertMenkel • 8 maart 2023 13:44

Het is niet de versleuteling die MitM onmogelijk maakt, integendeel zelfs, maar de authenticatie van de server. Als jij je kan voordoen als de server is het gewoon een kwestie van 2 verbindingen opzetten, inkomend verkeer decrypten en met de andere key re-encrypten.

DiedX @gerwim • 8 maart 2023 09:25

Al het verkeer komt voorbij. Dat https versleuteld is zorgt er voor dat dát verkeer niet bekeken kan worden.

Onversleuteld verkeer wél.

Skit3000

@gerwim • 8 maart 2023 09:44

Behalve als er een (niet openbare) tekortkoming zit in de versleutelingstechniek. En zelfs als die er nu niet is, dan nog kunnen veiligheidsdiensten die exitrelays beheren natuurlijk alle data opslaan en ontsleutelen op een later moment wanneer dat wel (tegen lagere kosten) mogelijk is.

Voor Twitter zie ik niet zo snel een probleem, maar als je bij elke bankwebsite zonder 2FA de eerste paar requests bewaart met het idee die over ~vijf jaar te kunnen ontsleutelen, zit in één van die requests waarschijnlijk ook de gebruikersnaam-/wachtwoordcombinatie van heel veel mensen. Bij wie vijf jaar later nog dezelfde combinatie gebruikt kan dan dus gewoon de hele bankrekening leeggehaald worden.

wiseger @Skit3000 • 9 maart 2023 11:35

Alleen zijn er geen bankwebsites zonder 2FA. Alle Nederlandse banken maken gebruik van 2FA. Sterker nog, bijna alles gaat naar 2FA. Denk dat je over vijf jaar nog nauwelijks gebruikersnaam- / wachtwoordcombinatie zal zien. Ze zijn hard aan het verdwijnen.

Skit3000

@wiseger • 9 maart 2023 14:59

Voor Nederland is dat misschien zo, maar de wereld is groter dan alleen Nederland. Zelfs grote internationale betaalplatforms zoals PayPal laten je gewoon nog zonder 2FA werken.

tedades @Alxndr • 8 maart 2023 07:40

Met een .onion extensie blijft het verkeer binnen het TOR netwerk omdat je een geen exit-node nodig hebt.

[Reactie gewijzigd door tedades op 23 juli 2024 18:55]

Mike2k 8 maart 2023 07:28

Zou dit wellicht maken hebben met de 'pro-russische' uitlatetingen van Elon Musk:
https://www.forbes.com/si...-ukraine/?sh=1091a0d77aac

Of hoe hij omgaat met Twitter in China?
https://www.hrw.org/news/...k-good-news-chinas-rulers

locke960 @Mike2k • 8 maart 2023 12:39

Waarom zou je dat denken?

De meest voor de hand liggende reden is kostenbesparing. Twitter is al een tijd bezig met drastisch hervormen, kosten besparen en het aanboren van nieuwe inkomsten. Dat gaat allemaal op zijn Musk's, dus driest, met fouten en onverwachte koerswendingen, maar het gaat wel snel.

Ik vermoed dat die snelheid essentieel is om het bedrijf nog te redden van de financiële afgrond, en dat alle transitie problemen daarom voor lief genomen worden.

Meer aannames zijn niet nodig om te begrijpen wat er bij Twitter gebeurt, maar om de een of andere reden loopt het internet over met waanzinnige theorieën en groteske 1-dimensionale aannames over Musk zelf.

bkor @locke960 • 8 maart 2023 13:16

De meest voor de hand liggende reden is kostenbesparing.

Je onderbouwt je aanname niet. Waarom zou het verlopen van een certificaat kosten besparen? Het is veel logischer om bijvoorbeeld geen dienst meer aan te bieden via Tor bijvoorbeeld. Verder lijkt het er ook op (volgens vele nieuwsartikelen) dat Twitter voornamelijk rekeningen niet betaalt, dat is iets anders als kosten besparen.

transitie problemen daarom voor lief genomen worden

Is het nou kostenbesparing of "transitie problemen"? Er werd namelijk al vaak aangegeven dat drastisch ingrijpen voor problemen zou zorgen. In verschillende nieuwsberichten werden er veel teveel mensen ontslagen, mensen die vervolgens weer ingehuurd moesten worden.

waanzinnige theorieën

Twitter is overgenomen deels door een leveraged buyout. Dat is een feit. Hierdoor heeft Twitter iets van ~1 miljard USD per jaar aan rentekosten. Dat je "kostenbesparingen" aangeeft als reden, tja, vind ik redelijk "waanzinnig" omdat juist de overname voornamelijk voor de onhoudbare kosten heeft gezorgd.

Die overname en de gevolgen waren vooraf te voorzien. Deze extra kosten komen niet "plotseling", er is bewust hiervoor gekozen. Er zijn nu flinke problemen, echter had dit echt van te voren al een plan gemaakt kunnen worden. Ik ben niet onder de indruk van argumentatie rondom "hoge kosten". Musk moest gedwongen worden om zich aan de afspraken te houden (en Twitter te kopen). In je eigen woorden: "allemaal op zijn Musk's, dus driest, met fouten en onverwachte koerswendingen", dat lijkt me een veel betere uitleg dan "kostenbesparingen".

locke960 @bkor • 8 maart 2023 14:11

Ik heb stilzwijgend aangenomen dat de dienst gaat verdwijnen van Tor. Lag voor de hand dacht ik, maar blijkbaar niet voor iedereen.

Het is "transitie problemen" als gevolg van het "drastisch hervormen, kosten besparen en het aanboren van nieuwe inkomsten". Die worden blijkbaar geaccepteerd als noodzakelijk. Ik denk dat dat ook nog wel even doorgaat.

In je eigen woorden: "allemaal op zijn Musk's, dus driest, met fouten en onverwachte koerswendingen", dat lijkt me een veel betere uitleg dan "kostenbesparingen".

Daar heb je zeker gelijk: om te beginnen heeft Musk zichzelf in de nesten gewerkt. Het ging al niet lekker met Twitter, maar de overname heeft alle financiële problemen acuut gemaakt, waardoor nu kostenbesparing en radicale veranderingen noodzakelijk zijn.

GertMenkel

Browsers

@Mike2k • 8 maart 2023 07:36

Ik denk dat het realistischer is dat de overgebleven mensen van Twitter geen idee hadden dat ze ook een hidden service aanboden en al helemaal niet dat het certificaat daarvan handmatig moet worden vernieuwd. Tor kan tenslotte geen Let's Encrypt/ACME gebruiken voor publieke certificaatautoriteiten en er zijn een hele hoop mensen weggelopen of ontslagen bij Twitter sinds Musk de boel heeft overgenomen.

Aangezien Tor contact met Twitter heeft opgezocht en Twitter geen interesse hadlijkt te hebben (ze hebben geen communicatieafdeling meer dus ze reageren niet), is de conclusie waarschijnlijk dat iemand binnen Twitter heeft gevraagd "waarom hebben we dit eigenlijk" en de boel gewoon gelaten is voor wat het is.

Het onion adres reageert nog wel maar de API lijkt kapot. Maar goed, Twitter kennende kan dat net zo goed een losse storing zijn, daar hebben ze de laatste tijd wel vaker last van.

[Reactie gewijzigd door GertMenkel op 23 juli 2024 18:55]

lenwar

Browsers
Websites en community's

@Mike2k • 8 maart 2023 09:08

De tracking/profiling is met tor moeilijker en daarmee zijn dus de (eventuele) advertenties minder waard.

Twitter is hard op zoek om (meer) winstgevend te worden en daar helpt dat niet bij natuurlijk.
De eventuele extra kosten van het onderhouden van het .onion-gebeuren (geen idee hoeveel werk dat is voor een bedrijf als Twitter) zijn natuurlijk alleen maar extra kostenpost die waarschijnlijk geen geld oplevert.

Ik denk dat we er niet veel meer achter moeten zoeken

Webgnome @Mike2k • 8 maart 2023 07:59

Of heeft het gewoon te maken met kostenbesparing?

P_Tingen @Webgnome • 8 maart 2023 11:45

Ik gok meer met personeelsbezetting en kennis. Er is zoveel personeel weggegaan dat het met niet zou verbazen dat ze ofwel de capaciteit niet hebben om dit er ook nog bij te doen, de kennis niet meer in huis hebben of het gewoon domweg te druk hebben met brandjes blussen en Elon-prioriteiten uitvoeren

Kwizz @P_Tingen • 8 maart 2023 12:08

Denk dat jullie allebei gelijk hebben... kostenbesparing d.m.v. het personeel wat er niet meer is.

dez11de @Mike2k • 8 maart 2023 12:58

Nee, heeft daar niks mee te maken.

Caelestis @Mike2k • 8 maart 2023 19:38

De tweet van musk

- Redo elections of annexed regions under UN supervision. Russia leaves if that is will of the people.

Het interpretatie van Forbes

having the United Nations oversee another round of referendums to join Russia in several eastern Ukrainian regions, allowing Russia to overtake the regions if the vote passes.

Is het pro-russisch of pro-democratisch? Het is maar hoe je het verwoord.
Het is toch duidelijk dat het gehele Oekraïnse volk van rusland af wil? Als het enkel een stembus ronde verwijderd is van oorlog waarom zou je dat niet met twee handen vast pakken? Of kunnen we niet vertrouwen op onze eigen VN?
Zoeken naar een uitweg is de enige mogelijkheid.
Ik zou enkel de neutrale onderdeel weg laten in zijn tweet. Het enige uitkomst op dit moment is blijkbaar nucleaire oorlog dus als we toch bezig zijn kunnen ook wel vandaag nog Oekraïne toevoegen aan de VN.
Dat rots in het water is toch vrijwel nutteloos.
Een eiland voor permanente onafhankelijkheid van rusland. Geen slechte deal als het alternatief alleen maar dooien zijn.

wiseger @Caelestis • 9 maart 2023 11:32

Het probleem is wie garandeert die onafhankelijkheid van Rusland? Bij de val van de muur gaf Oekraïne de kernwapens op inruil voor veiligheid garanties van Rusland.

Later pakte Rusland de Krim af, diverse grensprovincies zijn inmiddels toegevoegd aan Rusland, Rusland wil niet dat de Oekraïne lid wordt van de NATO, Rusland wil niet dat de Oekraïne lid wordt van de EU.

Er valt geen deal te maken als de veiligheid en onafhankelijkheid van de Oekraïne niet gegarandeerd kan worden.

Caelestis @wiseger • 9 maart 2023 12:20

De VN.
Deze oorlog wordt door ons uitgerekt.
In plaats van geld wapens en training gewoon Oekraine toevoegen aan de VN.
Het lijkt net alsof we middels boekhoudkundige trukjes de oorlog met ons proberen te vermijden.
Denk je echt dat rusland daar in trapt?

BenGenaaid @Caelestis • 9 maart 2023 13:55

????
In de VN wordt alles geblokkeerd door Rusland met zijn Veto recht. Dus Dat maakt geen zier uit.

Oekraïne is al lid van de VN maar ik vermoed dat je bedoelde: gewoon Oekraïne toevoegen aan de NAVO.

Door ons wordt er voor gezorgd dat Oekraïne een kans heeft...het is voorts de keus aan hen of ze deze kans benutten / grijpen / het bijltje erbij neergooien.

Voor de rest ben ik het wel eens met nu vandaag gewoon tegen Putin zeggen... luister jongen... Oekraïne is vanaf vandaag gewoon NAVO land en wij trekken momenteel het land in met onze soldaten en als je ook maar 1 vliegtuig of raket deze kant opschiet, schieten we met zijn 30-en terug.. aan jou de keus. Tja.. dan zijn er twee opties: armageddon of oorlog afgelopen.
Daar gaan we evengoed naartoe, of Putin moet ineens een hartaanval krijgen en er ontstaat een machtsvacuüm in Rusland met alle gevaren van dien met alle haviken op de loer.

Oplossing is ook meteen duidelijk signaal aan XI.... geen landje pik spelen met wapens!!
Maar dit is nogal off topic aan het worden.

Het is jammer dat die CEO van Tesla en nu ook twitter nu de boel zo gesloopt heeft, al is het voor de gemiddelde gebruiker in dit geval niet zo'n probleem ze gebruiken immers toch al wat anders..
Voor die CEO zou ik zeggen "schoenmaker blijf bij je leest"... heeft ie niet gedaan.. en zie daar...rampspoed.

Caelestis @BenGenaaid • 9 maart 2023 17:58

Ja je heb gelijk ik bedoel de NAVO.

Het is jammer dat die CEO van Tesla en nu ook twitter nu de boel zo gesloopt heeft,

Wat is er gesloopt? Het was al een geldverslindende puinhoop geteisterd door bots.
If it ain't broke don't fix it? Well its broken so go fix it...

3raser 8 maart 2023 08:20

Jammer dat Twitter het domein niet gewoon zonder certificaat beschikbaar maakt. Dan hebben zij er geen omkijken naar en blijft het voor Tor gebruikers net zo veilig te gebruiken. Maar goed, Twitter maakt op dit moment wel meer rare beslissingen.

akooijman @3raser • 8 maart 2023 09:03

Als vriend Elon laat zien dat privacy voor hem niet belangrijk is, is dat een reden te meer om Twitter vaarwel te zeggen.
Helaas blijft de grote massa op het standpunt: "iedereen zit op Twitter dus ik kan niet anders" hangen.
Er is nog een heel lange weg te gaan en er zal een serieuze crisis nodig zijn voor we verstandig worden.

Sando @akooijman • 8 maart 2023 14:22

Twitter's verdienmodel is exhibitionisme. Volgens mij bestaat de top 1000 populairste twitteraars alleen uit popsterren, voetballers en influencers die zelf constant hun locatie delen. Als je om privacy geeft is dat een reden om überhaupt geen Twitteraccount te hebben. Twitter heeft zijn beste tijd gehad, maar het zal niet komen doordat ze hun onion certificaat laten verlopen.

SunnieNL

@3raser • 8 maart 2023 09:15

Dat ligt geheel aan de infra van Twitter.
Als ze de Tor program naar de Twitter websites los hebben staan van de webservers is er een gegronde reden om wel certificaten te gebruiken omdat anders het verkeer tussen de servers unencrypt is.
De kans dat Twitter dat doet is vrij groot, omdat ze dan de Tor program aan hun kant gewoon kunnen verbinden naar de normale interne servers, zonder dat ze extra infra/webservers moeten opzetten voor toegang vanaf het Tor netwerk.

The Zep Man

Websites en community's
Twitter
Browsers

8 maart 2023 07:42

Voor een onion service (Tor zonder exit node) TLS gebruiken is vergelijkbaar met het gebruik van een dubbel condoom: je voelt je veilig, maar het is niet effectiever.

Er is een beperkt aantal redenen om TLS te gebruiken, maar die zijn met name gerelateerd aan functioneel zijn en niet veilig zijn. Met de juiste serverconfiguratie is TLS niet nodig. Voor sommige websoftware moet de 'eis' om TLS te gebruiken eruit geconfigureerd worden om enkel HTTP te kunnen gebruiken.

Er is wel dit:

To help the user verify that the .onion address is indeed the site you are hosting (this would be a manual check done by the user looking at the cert registration information)

Maar laten we realistisch zijn en aannemen dat gebruikers dat niet doen.

Andersom heb je met TLS op .onion-adressen meer onderhoud (bij gebrek aan ACME-ondersteuning) en hogere kosten (bij gebrek aan een gratis certificaatboer). Er is een voorstel om Tor Browser self-signed certificaten (met hetzelfde sleutelmateriaal dat gebruikt wordt om de onion service aan te bieden binnen het netwerk) te laten accepteren, wat de genoemde nadelen wegneemt. Dat staat waarschijnlijk niet heel hoog op de lijst van functies om te implementeren, gezien Tor zonder TLS ook goed werkt met hetzelfde beveiligingsniveau.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:55]

SunnieNL

@The Zep Man • 8 maart 2023 09:12

Je haalt wel de minst belangrijke reden aan voor TLS in het TOR netwerk.

Een van de meer belangrijkere:

Some websites have a complex setup, and are serving HTTP and HTTPS content. In that case, just using Onion Services over HTTP could leak secure cookies.

Related to the previous point, some protocols, frameworks, and infrastructures use SSL as a technical requirement; they won't work if they don't see an "https://" link

in the case where the webserver isn't in the same location as the Tor program, you would need to use an HTTPS certificate to avoid exposing unencrypted traffic to the network in between the two.

The Zep Man

Websites en community's
Twitter
Browsers

@SunnieNL • 8 maart 2023 09:18

Some websites have a complex setup, and are serving HTTP and HTTPS content. In that case, just using Onion Services over HTTP could leak secure cookies.

Configuratiedingetje, zeker als de website normaliter nog HTTP content aanbiedt van het normale internet.

Related to the previous point, some protocols, frameworks, and infrastructures use SSL as a technical requirement; they won't work if they don't see an "https://" link

Configuratiedingetje. Server-side kunnen veel zaken 'http' geforceerd worden voor configuraties waarbij TLS offloading elders plaats vindt, en dat kan dus ook voor Tor. Client-side lost Tor Browser veel problemen op.

in the case where the webserver isn't in the same location as the Tor program, you would need to use an HTTPS certificate to avoid exposing unencrypted traffic to the network in between the two.

Ook een configuratiedingetje. Als het stuk tussen Tor node en webserver versleuteld moet zijn, kan een serverbeheerder altijd nog zelf een tunnel opzetten tussen die twee. Dit is hetzelfde waar TLS load balancers tegenaan lopen, en de oplossingen daarvoor kunnen ook hier gebruikt worden.

In alle gevallen die je noemt wordt TLS gebruikt als kruk voor slechte configuraties. Daarom dat er in Tor Browser niet een hoge prioriteit gegeven wordt aan het toestaan van self-signed certificaten.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:55]

Raymond Deen @The Zep Man • 8 maart 2023 12:38

Externe services die jouw adres nodig hebben als HTTPS is geen configuratie dingetje; je bent namelijk afhankelijk van die externe service die dat geïmplementeerd moet hebben. En dat laatste is de crux: de meeste mensen houden geen rekening met tot tor en hun service eisen gewoon een veilige verbinding; HTTPS dus.

The Zep Man

Websites en community's
Twitter
Browsers

@Raymond Deen • 8 maart 2023 13:02

Externe services die jouw adres nodig hebben als HTTPS is geen configuratie dingetje; je bent namelijk afhankelijk van die externe service die dat geïmplementeerd moet hebben.

Over welke 'externe service' praat je dan? Een goede onion service gebruikt namelijk geen externe diensten van het reguliere internet. Statische content van third-parties (zoals lettertypes, JavaScript frameworks, ...) is prima zelf te hosten, of transparant door te sturen d.m.v. een reverse proxy zodat de server het afneemt en niet de client. De te kiezen methode is afhankelijk van hoeveel anonimiteit aan de serverkant gewenst is en om wat voor soort gegevens het gaat.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:55]

Raymond Deen @The Zep Man • 8 maart 2023 13:46

Ik denk bij die externe services aan bijvoorbeeld DigiD en iDeal die allemaal een callback hebben naar de originele aanvrager. Voor dat soort zaken is er geen onion service beschikbaar, schat ik in.

In het geval van Twitter denk ik dat het letterlijk een schilletje om de normale website is (pun intended) en niets anders, maar daar heb ik me verder niet in verdiept.
Zelf hosten van assets is volgens mij iets dat een heleboel partijen niet doen, of in ieder geval van weer een ander domein (cdn) dus dat zou weer een extra verschil zijn waarvan ik niet weet of dat ook zo geïmplementeerd was bij Twitter.

The Zep Man

Websites en community's
Twitter
Browsers

@Raymond Deen • 8 maart 2023 14:01

Ik denk bij die externe services aan bijvoorbeeld DigiD en iDeal die allemaal een callback hebben naar de originele aanvrager. Voor dat soort zaken is er geen onion service beschikbaar, schat ik in.

Dus geen onderdeel van de discussie. Een site die DigiD/iDEAL implementeert is niet beschikbaar als onion service. Dergelijke diensten bereik je daarom via een exit node, en daarop is deze discussie niet van toepassing.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:55]

Raymond Deen @The Zep Man • 8 maart 2023 20:19

Dat zeg je nou wel zo stellig, maar is dat altijd zo of alleen bij een goede implementatie?
Met een tor browser kun je namelijk ook prima sites bezoeken die niet op het tor netwerk zitten.

The Zep Man

Websites en community's
Twitter
Browsers

@Raymond Deen • 8 maart 2023 20:48

Met een tor browser kun je namelijk ook prima sites bezoeken die niet op het tor netwerk zitten.

Welk deel van deze stelling begrijp je niet?

Dergelijke diensten bereik je daarom via een exit node, en daarop is deze discussie niet van toepassing.

De discussie gaat over .onion services. Dat zijn diensten binnen het onion netwerk. Als je met Tor Browser reguliere sites bezoekt, dan gebruik je een exit node. Je gebruikt dan wel het onion netwerk, maar enkel om doorheen te reizen en niet voor het laatste stuk naar de eindbestemming.

Raymond Deen @The Zep Man • 8 maart 2023 21:00

Jammer van het hautaine toontje…
Ik probeer juist je stelling te ontkrachten; ik ben het er namelijk niet mee eens.
Onion services moeten wel degelijk over tls draaien, want dat vereisen dat soort externe services nou eenmaal. Je kunt vaak gewoon niet alles binnen het tor netwerk.
Alleen al bij Twitter zou je anders geen blauw vinkje kunnen kopen via de onion service…

The Zep Man

Websites en community's
Twitter
Browsers

@Raymond Deen • 8 maart 2023 21:21

Onion services moeten wel degelijk over tls draaien, want dat vereisen dat soort externe services nou eenmaal. Je kunt vaak gewoon niet alles binnen het tor netwerk.

Het is onduidelijk wat jij schaart onder 'externe services'. Gaat het nu wel of niet om diensten met een .onion adres?

Alleen al bij Twitter zou je anders geen blauw vinkje kunnen kopen via de onion service…

Dat kan sowieso al niet, want Twitter is niet meer bereikbaar als onion service. Verder kan je niet anoniem betalen bij Twitter, dus heeft Tor-gebruik geen nut voor anonimiteit. Verder kan je op het dark web prima betalen met cryptocurrencies. Dat niet implementeren is een keuze.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:55]

Raymond Deen @The Zep Man • 8 maart 2023 21:35

Ik heb een paar reacties geleden al een paar voorbeelden gegeven van externe services die naar mijn weten niet op het tor netwerk draaien.
Wanneer de Twitter onion service nog wél bereikbaar zou zijn dan zou je dus voor de betaling buiten het netwerk terecht komen en dat is mijn hele punt: niet alles draait binnen tor.
Je kunt dan wel alternatieven gaan bedenken, maar dat is niet altijd realistisch (want anoniem betalen niet toegestaan bijvoorbeeld) of wenselijk (want bijvoorbeeld te complex).
Dark web is voor mij trouwens niet gelijk aan tor, maar meer een gebruik ervan dat het daglicht niet verdraagt.

Anoniem: 450173 @The Zep Man • 8 maart 2023 07:48

Een dubbel condom is wel degelijk minder effectief. Werk nog even aan je metafoor.

https://1001condooms.nl/n...ms-over-elkaar-gebruiken/

The Zep Man

Websites en community's
Twitter
Browsers

@Anoniem: 450173 • 8 maart 2023 07:49

Een vals gevoel van veiligheid maakt je onveiliger door je gevoelsgebaseerd gedrag. Kleine tekstaanpassing gedaan.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 18:55]

SpoekGTi @Anoniem: 450173 • 8 maart 2023 07:58

Dit kan je verhelpen door op de eerst wat chilisaus of tijgerbalsem te smeren en dan de 2de er over heen te doen.

Zo weet in ieder altijd 1 van de partijen welke er is geknapt