it-swarm-eu.dev

Se visito un sito Web HTTPS quando utilizzo Tor, il mio IP è esposto?

HTTPS è una connessione crittografata end-to-end. Detto questo, il sito web che sto visitando conosce il mio IP originale? Il sito Web è disponibile solo su HTTPS (non HTTP non crittografato).

37
gasko peter

No, non lo farà.

Il fatto è che quando usi HTTPs su TOR:

  1. usi la chiave pubblica del server per crittografare il tuo messaggio (quindi nessuno tranne il server sarà in grado di leggere il tuo messaggio).
  2. quindi si passa il messaggio HTTP (che, ricorda, è crittografato con la chiave pubblica del server) a un nodo TOR,
  3. questo nodo TOR ad un altro, e un altro e ...
  4. infine, l'ultimo nodo TOR invierà il tuo messaggio HTTP crittografato al server (che include la tua chiave per la sessione); la risposta è crittografata dal server con questa chiave e sarai l'unico a poter decrittografare la risposta dal server . 1

Quindi il grafico dovrebbe essere il seguente:

---> "Tor message"  
===> "HTTPs message"
[T]  "Tor Node"
[S]  "Server"
[U]  "User"

[U]-->[T1]-->[T2]-->[T3]-->...[TN]==>[S]  
[S]==>[TN]-->...[T3]-->[T2]-->[T1]-->[U]

Eppure la tua comunicazione sarà ancora segreta.

Se vuoi saperne di più su come la tua connessione è segreta, puoi conoscere lo scambio di chiavi in ​​ questa pagina .

36
kiBytes

No, il sito Web non conosce il tuo vero indirizzo IP. Questo è il punto di usare TOR. Se hai un account su quel sito web e accedi, sapranno che sei tu, ma non conosceranno il tuo vero indirizzo IP.

Quando usi tor, stai passando attraverso i relè. Questi relè crittografano tutte le comunicazioni tra di loro vedere di seguito:

enter image description here

Con il traffico HTTPS va così come spiegato da professorTuring

---> "Tor Connection"  
===> "HTTPs Connection"
[T]  "Tor Node"
[S]  "Server"
[U]  "User"

[U]-->[T1]-->[T2]-->[T3]-->...[TN]==>[S]  
[S]==>[TN]-->...[T3]-->[T2]-->[T1]-->[U]

Ulteriori informazioni su tor qui

14
Boogy

A parte la risposta di tutti, c'è un'altra ragione più semplice. L'IP avviene al livello 3 (livello IP) mentre SSL avviene al livello 6 (livello sessione). Quindi la parte crittografata SSL del nostro pacchetto è incapsulata dal livello IP, il che significa che il tuo indirizzo IP stesso non viene crittografato da SSL (a meno che, naturalmente, la tua applicazione non abbia una funzione integrata da inviare lungo l'IP).

Tor effettivamente spoglia le intestazioni IP e le modifica lungo il percorso (perché ogni nodo conosce solo l'hop precedente e successivo).

12
Lucas Kauffman

HTTPS è una connessione crittografata end-to-end

Questo è vero, ma nel modello Tor l'attuale TCP è non "end-to-end" in questo senso.

Il modo in cui ho interpretato la tua domanda è che immagini una sessione HTTP [non protetta] che sia protetta da Tor riscrivendo i pacchetti per nascondere il tuo IP. Se fosse vero, l'introduzione di SSL nel mix renderebbe Tor incapace di leggere, figuriamoci riscrivere i pacchetti.

Tuttavia, la chiave qui è che non è così che funziona Tor. Nel modello Tor, la responsabilità della connessione è lasciata al dispositivo Tor finale nella catena; la sessione SSL inizia ancora sul tuo computer, quindi sei ancora sicuro end-to-end, ma non è necessario che si verifichi una "riscrittura", quindi non si perde nulla applicando SSL ai payload.

Come altri hanno risposto, Tor stesso non fornirà il tuo indirizzo IP al server web. Tuttavia, ciò non significa che un intercettatore non riesca a capire qualcosa. Recentemente c'è stato un caso di uno studente che ha usato la rete Tor per inviare una minaccia di bomba alla sua scuola. Durante l'invio della minaccia, la scuola ha esaminato i loro registri di rete e ha scoperto che solo pochi computer nella scuola erano collegati a Tor. Tutti furono eliminati tranne uno, e una volta intervistato, il proprietario di quel computer confessò.

0
John Deters

TOR è un progetto gestito dall'organizzazione non profit per sviluppare la privacy e l'anonimato online. TOR rende difficile per chiunque rintracciare l'attività su Internet di un utente che include visita al sito, posta online, messaggi o altre forme di comunicazione effettuate dall'utente sul web. Il motivo principale di questo progetto è prevenire la privacy degli utenti, nonché offrire libertà e capacità di condurre attività commerciali riservate dal proprio computer senza prendere alcuna tensione di hacking/spam.

Pertanto, durante l'utilizzo di TOR il tuo indirizzo IP non sarà esposto al server HTTPS.

Dai un'occhiata a come puoi controllare cosa è visibile agli intercettatori (hacker/spammer) quando usi TOR sul server HTTPS:

  • Fai clic su "Pulsante TOR" per visualizzare i dati visibili agli intercettatori. (Il colore del pulsante dovrebbe essere verde)
  • Fare clic su "Pulsante HTTPS" per visualizzare i dati visibili agli intercettatori quando si accede al sito HTTPS. (Il colore del pulsante dovrebbe essere verde)
  • Quando entrambi i pulsanti sono verdi puoi vedere i dati che sono visibili a qualsiasi terza parte che controlla la tua attività su Internet.
  • Ora disattiva questi pulsanti e quando il colore del pulsante diventa grigio, dai un'occhiata ai dati che sono visibili agli intercettatori quando non usi TOR.

Questo processo indicherà la quantità di privacy fornita da questa applicazione al suo utente. Uno spammer non saprà mai l'esatto IP/i dettagli dell'utente e quindi i tuoi dati sono al sicuro. Funziona come un servizio di prevenzione della raschiatura per la maggior parte degli utenti regolari/aziendali. Servizi come ScrapeSentry , ScrapeDefender, Distil Networks forniscono la prevenzione dello spam ai proprietari del sito (webmaster) mentre servizi come TOR forniscono sicurezza alla privacy dell'utente da mani malvagie.

0
Sharon Williams

OK, non ho nulla da aggiungere che risponderà effettivamente alla tua domanda di per sé, ma vorrei aggiungere PERCHÉ in modo un po 'più dettagliato. HTTPS è un processo matematico basato su concetti che consentono a un client e un server di elaborare una chiave senza mai "parlarsi" in anticipo, anche se un aggressore sta ascoltando.

COME FUNZIONA SSL (LA VERSIONE BREVE): per essere concisi su come funziona effettivamente, il server genera un numero tale che è un fattore di altri due numeri, e quindi il client utilizza quel numero per operare sul suo numero in modo tale che sarebbe estremamente difficile trovare il suo numero senza conoscere i fattori generati dal server. Pertanto, il client è in grado di inviare "il suo numero" (la chiave utilizzata per il resto della sessione) senza che un intercettatore lo sappia.

COME FUNZIONA TOR: Tor utilizza fondamentalmente un processo di crittografia non troppo terribilmente diverso da SSL per quanto riguarda la procedura matematica sopra descritta per condividere una chiave separata con ciascun "nodo" attraverso il quale il pacchetto viaggerà. Supponiamo che il pacchetto attraversi 4 nodi. Node 1 ottiene la chiave a, il nodo 2 ottiene la chiave b, ecc. Si genera x, il pacchetto che si desidera inviare. Tor ora calcola questo: a (2, b (3, c (4 , d (x))). 2, 3 e 4 sono l'indirizzo "del nodo successivo. Lo hai inviato al nodo 1, che può decrittografare solo a. Vede l'indirizzo del nodo 2 e lo invia lì. Node due può solo decifrare ... beh, ottieni il punto. Prima di inviare tutto questo, il tuo IP e così via vengono "rimossi" da x, e quando 4 invia x al server, aggiunge il suo IP e così via.

COSA SIGNIFICA: L'unico modo in cui HTTPS impedirebbe a Tor di "falsificare" il tuo IP sarebbe se un nuovo protocollo fosse aggiunto ad esso in modo che il tuo IP fosse inserito in un altro livello (in particolare uno che era già stato crittografato da SSL). Il tuo IP verrebbe rimosso da un livello ma potenzialmente letto da un altro.

0
KnightOfNi