Select Page

Không sử dụng HTTPS với Onions

Không sử dụng HTTPS với Onions

Tại sao bạn muốn sử dụng HTTPS

Hãy nói về lý do tại sao bạn muốn sử dụng HTTPS. Hãy cho tôi biết nếu tôi đang thiếu soát một điều gì đó.

Mã hóa End-to-end

Bạn muốn làm điều này với Tor.

Tất cả mọi thứ giữa local Tor client (sử dụng Tor Browser? Nó chạy Tor ở chế độ nền) và Tor client cung cấp dịch vụ onion được mã hóa. Không có Tor relay và không có đối thủ cấp mạng nào có thể biết bạn đang và đã truy cập vào onion nào (thật sự tốt hơn HTTPS-without-Tor đến một trang web thông thường).

Nếu bạn là một nhà điều hành dịch vụ onion (Admin một web .onion) và đang ở cấp độ tinh tế, bạn có những lời khuyên từ các web linh tinh trên mạng, thì HTTPS sẽ không giúp gì nhiều cho bạn đâu. Nếu bạn là Facebook, Reddit hoặc Youtube, thì bạn có một trung tâm dữ liệu khá lớn và có lẽ không cùng chạy Tor trên cùng một máy như máy chủ web của bạn nữa. Lưu lượng truy cập không được mã hóa có thể “chảy” qua một cách không thoải mái trên mạng của bạn (siêu an toàn, đúng không?). Nhưng nếu bạn có đủ các “nguồn lực tài chính” để cấp phép chứng nhận hợp lệ cho .onion của bạn. Bạn nên làm điều đó.

Tránh men-in-the-middle

Bạn đã có điều này với Tor. Điều này có liên quan, nhưng khác với điểm trước đó.

Khi bạn kết nối với reddit.com bằng HTTPS, làm thế nào để bạn biết sẽ chặn được tấn công MitM? Chứng chỉ hợp lệ đúng không? Vì không có lỗi trình duyệt nào là đáng sợ! Để tốt hơn hoặc tệ hơn, chúng ta tin tưởng vào hệ thống Certificate Authority (CA).

Khi bạn kết nối với một dịch vụ onion, bạn biết khi nào thì không ai tấn công MitM? Dễ dàng không? Việc xác định là không thể. Hacker sẽ tấn công trình duyệt của bạn (chính xác hơn: giữa phần trình duyệt của Tor và phần tiến trình Tor đang chạy nền) hoặc giữa tiến trình Tor mà toán tử onion đang chạy và máy chủ web trỏ đến. Nếu bạn cho rằng Tor Browser của bạn chưa bị xâm phạm, và bạn cho rằng dịch vụ onion đang chạy một cách thông minh, thì tấn công MitM là không thể. (Vậy nếu dịch vụ onion không được chạy một cách thông minh, thì bạn có tin tưởng quản trị viên của nó thực hiện HTTPS một cách thông minh không?).

Kết nối đang web với tên đáng tin cậy

Giải pháp tốt hơn: Khuyến khích sử dụng Bookmarks.

Nếu bạn tạo một web game và một chứng chỉ tự ký cho 5rqvahiexxwm4p6m.onion và bạn muốn người dùng của mình đang kết nối với một trang web thực sự, hãy yêu cầu họ sử dụng Bookmarks. Hacker cũng có thể tạo chứng chỉ tự ký. Hacker cũng có thể tự tạo ra một website onion tương tự (tạo một dãy 8 ký tự đã trở nên dễ dàng hơn). Không ai kiểm tra những ký tự có đúng hay không với mỗi lần truy cập. Chứng chỉ SSL cũng chẳng có giá trị gì cả.

Ví dụ nhanh. Sau đây đâu là dịch vụ Tìm kiếm ẩn danh DuckDuckGo thực sự?

(Và giả sử cả hai đều sử dụng chứng chỉ SSL)

Chỉ có 5 ký tự là khớp chính xác và 6 ký tự khác nằm trong cùng một “lớp” (tôi đã thay thế chữ cái thực bằng những chữ cái ngắn khác [như “n”] hoặc một chữ cái khác có đuôi [như “g”]. Còn lại 5 ký tự là ngẫu nhiên.

Hacker có rất nhiều trang web tốt. Và tôi không tin các địa chỉ ảo (ví dụ như coolgamez2f89e4r.onion). Nếu bạn dễ dàng tạo các địa chỉ bắt đầu bằng coolgamez. Thì mọi người sẽ tìm kiếm dễ dàng hơn. Trong thực tế, nếu Hacker mạnh hơn nhiều so với bạn, họ có thể giữ nguyên các ký tự đầu và chỉ thay ngẫu nhiên vài ký tự cuối. Cuối cùng, người dùng của bạn sẽ có nguy cơ sa vào lưới, vì họ chỉ tìm kiếm tiền tố coolgamez.

Vì vậy các chứng chỉ sẽ giúp gì được cho bạn với một địa chỉ an toàn.

Xem thêm các phần thảo luận đâu có trên Internet có liên quan đến Let’s Encrypt và các tên miền xấu. Let’s Encrypt sẽ vui vẻ mã hóa cho bạn tên miền g0ogle.com nếu như bạn chứng mình được sự sở hữu của bạn với tên miền đó. Tôi nghĩ rằng đó là tốt, tôi chỉ muốn chỉ ra những điểm tương đồng. Tất cả chứng chỉ DV (hợp lệ) được bạn chứng minh là bạn đang kết nối an toàn với một số tên miền. Nó không chứng minh các tên miền mà bạn đang dự định kết nối. Bạn cần chứng chỉ EV cho điều đó, và để người dùng của bạn nhìn thấy thanh địa chỉ màu xanh an toàn.

Được, nhưng…

Bạn vẫn muốn có HTTPS vì nhiều lý do. Được. Điều đó là tốt nhưng bạn đừng sử dụng bất cứ chứng chỉ không hợp lệ hay tự ký nào cả. Nghiêm túc đấy nhé.

Không ai kiểm tra chúng

Có lẽ 10 người trong số 7 tỷ người có thể thành thật tuyên bố rằng họ luôn kiểm tra chứng chỉ họ nhận được mỗi khi họ truy cập trang web. Nhưng 10 người đó không đến thăm trang .onion của bạn. Vì vậy, ai sẽ thông báo cho bạn là Chứng chỉ này bị hỏng hoặc không hợp lệ? Không ai cả. Do đó cũng chẳng có ai để tâm đến việc nó thay đổi khi MitM không xảy ra.

Nó dạy những thói quen xấu

Chứng chỉ không hợp lệ tạo ra cảnh báo lớn đáng sợ trong trình duyệt. Và họ sẽ nghĩ. Có một cái gì đó đang lừa đảo, hay rất đáng lo ngại đang ở đây. Chúng ta thêm chứng chỉ tự ký hoặc không hợp lệ vào trang .onion của chúng ta, chúng ta đang đào tạo người dùng

  1. Mong đợi HTTPS khi nó thậm chí không cần thiết.
  2. Nhấp qua cảnh báo lớn về Nguy Hiểm.
  3. Tin rằng HTTPS-over-onion đang bị hỏng còn hơn là http-over-onion.

Không sao cả. Nhưng làm ơn dừng lại.

Nó chỉ dành cho tôi

Dịch vụ onion chỉ là một điều riêng tư dành cho bạn? Tuyệt quá. Làm bất cứ điều gì bạn muốn, nhưng đừng giả vờ làm cho dịch vụ của bạn an toàn hơn. Nếu bạn muốn mọi thứ của bạn được an toàn, bạn chạy Tor trong một Virtual Box và đảm bảo an toàn cho nó. Một chứng chỉ tự ký trên đầu trang đó chỉ là làm thêm công việc và thêm đau đầu mỗi khi bạn truy cập vào trang web của bạn hay bạn di chuyển trang web và cập nhật.

Tôi có chứng chỉ .com hợp lệ và tôi muốn áp dụng điều đó cho .onion của tôi

Xem lại: Không ai kiểm tra chúng. Chúng ta đã chuẩn bị cho phần này.

Không ai kiểm tra chứng chỉ có hợp lệ hay không khi chúng là như nhau và khi họ truy cập vào trang web thông thường cũng như họ truy cập vào các trang .onion. Bạn đang đào tạo người dùng của mình chờ đợi HTTPS hợp lệ, và nếu nó không hợp lệ thì người dùng nghĩ là do lỗi máy chủ, nhưng thực sự họ đang truy cập một trang web giả mạo.

Tôi thực sự nhận được chứng chỉ hợp lệ cho .onion của tôi

Được chứ! Tùy thuộc vào phần quan trọng mà trang .onion của bạn đang chạy, nhưng tôi vẫn cám dỗ bạn là không cần dùng nó. Nếu bạn đang có một datacenter quy mô lớn, tôi khuyên bạn nên dùng nó. Nếu bạn dùng cho bất cứ điều gì khác, tôi nghĩ là chúng vô nghĩa.

Cuối cùng

Có lẽ một ngày nào đó Let’s Encrypt sẽ cung cấp chứng chỉ hợp lệ cho các trang .onion. Nếu điều đó xảy ra thì ý kiến của tôi sẽ thay đổi. Nó vẫn rất không cần thiết vì lý do an ninh. Nếu bạn đang chạy một diễn đàn trò chơi, bạn nhận được trong cùng chứng chỉ hợp lệ cho cả cả coolgamez.com và coolgamezxxxxxxx.onion, điều đó là rất tốt. Điều đó phải làm thay đổi suy nghĩ của tôi.

Source: matt
Cover: Internet

About The Author

Pao Pevil

Cuộc sống này đối với tôi là màu đen tối vô tận. Đen tối đó che chở, bảo vệ và tôi tôn thờ nó. Ánh sáng có thể cho chúng ta sự sống, nhưng đêm tối mới cho chúng ta sự vĩnh hằng. Máu thịt tôi là Quỷ dữ, tôi muốn sống với cội gốc của mình. Linh hồn tôi là Bóng tối, tôi muốn là chính tôi.

Leave a Reply

Recent Tweets

  • RT @classoalcala: Terminando el tercer muestreo sobre Macarenia clavigera en Caño Cristales, sierra de La Macarena. Gracias Comunidad La Ca…
  • RT @home_assistant: Happy birthday Firefox! 15 years is a great milestone. Keep it up and keep users data private! ❤️ https://t.co/FdcSrwQp…
  • RT @Ghostery: Earlier this week Apple updated the privacy section of their website.The new site offers clear information about the data pro…