Domanda:
Tentativo di creare un sito Web sicuro in cui la sicurezza è gestita dal sito Web e non dall'utente
FDoherty
2016-10-06 20:09:11 UTC
view on stackexchange narkive permalink

Lavoro con i diritti civili per bambini e giovani e sto cercando di creare un sito web per giovani e bambini LGBT e le loro famiglie. Il sito web deve essere sicuro in quanto è ancora molto pericoloso in molti paesi ammettere di essere gay (o LGBTQ).

Ho una serie di cortometraggi per bambini che vorrei rendere accessibile gratuitamente su un sito web ma i giovani, le famiglie e gli insegnanti che accedono al sito devono essere irrintracciabili.

Posso creare un sito web in cui la sicurezza risiede all'interno del sito web?
Le persone e i bambini che visitano il sito non imposteranno le proprie misure di sicurezza per non essere tracciati.

Il sito web stesso non sarebbe in grado di farlo, dovresti averli tutti usando VPN, oppure potresti creare un sito Tor, ma entrambi richiedono software / configurazione da parte dell'utente e un certo livello di conoscenza tecnica-Come.Un sito HTTPS crittograferebbe il traffico web, ma il percorso da e verso il traffico web sarebbe facilmente rintracciabile.Ad essere onesti, non so se sia possibile.Si spera che la risposta di un altro utente possa illuminare entrambi verso una possibile soluzione.Forse una sorta di processo di autenticazione per consentire solo ai bambini e alle loro famiglie di accedere al sito?
se Sony, Yahoo, Dropbox e altre grandi aziende possono essere hackerate, allora non pensare di poter essere hackerate .. Tutto quello che devi fare è solo stare all'erta ed essere pronto ad affrontare qualsiasi violazione e prepararti al peggio .. avere tutte le barriere di sicurezza in atto,
Potete ospitare i contenuti su un altro sito "dall'aspetto innocente" come Facebook / Youtube / siti di Google / cartelle condivise di Google Drive?È possibile accedere a questi siti utilizzando HTTPS e non si distingue dall'utilizzo tipico.
@FDoherty Posso chiederti come intendi promuovere il sito web presso il tuo pubblico di destinazione?
Puoi chiarire che tipo di paesi intendi per "molto pericolosi".Intendi regimi repressivi come l'Iran?
Utilizza https e rileva + applica la modalità di navigazione in incognito.http://security.stackexchange.com/questions/9037/can-web-sites-detect-whether-you-are-using-private-browsing-mode
A chi devono essere irrintracciabili?Hanno i loro computer o devono usare computer pubblici?
@billc.n, come fai a sapere che gestiranno i dati in modo responsabile in un futuro non così prossimo?La sicurezza come servizio è sconsigliabile.E la sicurezza attraverso l'oscurità ("dall'aspetto innocente") lo è ancora di più.
Magari prova la crittografia End-2-End-End controllata da javascript come fa www.mega.nz
@JonasDralle Questo non risolve nulla perché fornisce solo segretezza ma non anonimato.Se i "cattivi" (in alcuni casi potrebbero essere il governo) scoprono di cosa tratta il sito allora il semplice tracciamento di una connessione ad esso dal tuo computer, anche senza poter leggere i dati scambiati, è sufficiente per metterti nei guai.E l'OP sembra voler fornire una risorsa accessibile (cioè chiunque dovrebbe essere autorizzato a vedere i contenuti, ecc.) In modo che il governo possa facilmente scoprirlo.Potrebbe essere un * un po '* più difficile per loro se avessi bisogno di qualche segreto per accedere al sito ...
@Bakuriu Hai ragione sul fatto che l'accesso non sarà nascosto ma il tipo esatto di contenuto consumato sarà nascosto.Si potrebbe difendere la propria omosessualità con "Stavo solo facendo ricerche e stavo guardando l'impronta"
@JonasDralle Sì, ei cattivi sono liberi di non credere a quello che dici e di ucciderti.Il punto è: se vuoi davvero fornire una risorsa ** sicura **, l'anonimato è un must in quelle circostanze.Quello che stai suggerendo sarebbe simile a votare alle elezioni se ci fossero pochi candidati per ogni partito, ma ogni partito ha uno stand distinto, quindi le persone possono dire che hai votato per il partito X invece di Y anche se potrebbero non essere in gradoper sapere quale candidato hai votato ... ma quando il fatto "votato per il partito X" è sufficiente per una condanna a morte / ritorsione hai problemi ...
In alternativa, crea un sito web generale in cui la parte relativa a LGBT sia solo una piccola parte.Ma fai attenzione che la lunghezza della pagina potrebbe far trapelare informazioni, specialmente se stai inserendo video di grandi dimensioni.
Stavo per suggerire una qualche forma di steganografia, ma come altra crittografia che spinge solo il problema dell'analisi a un livello superiore.È ancora evidente che hai effettuato l'accesso al server e, se qualcuno sospetta un sottocanale, probabilmente può dimostrare che è lì anche se non può decrittografare il contenuto ... E la steganografia richiederebbe il download di un decoder, che lascerebbe le sue tracce.
Sette risposte:
paj28
2016-10-07 00:52:26 UTC
view on stackexchange narkive permalink

Non farlo

Se stai prendendo di mira regimi non sicuri, le conseguenze possono essere gravi. Ad esempio, in Iran, gli omosessuali condannati sono generalmente condannati a morte per impiccagione.

Ci vorrebbe solo il minimo errore da parte del tuo sito o di uno dei tuoi utenti perché questa sia una prova incriminante. Riesci a immaginare il senso di colpa che proveresti se il tuo sito ben intenzionato finisse per essere la prova che ha portato a un'esecuzione?

Operare online in modo sovversivo in un regime repressivo richiede estrema abilità e cautela. Il semplice utilizzo di Tor sarebbe di per sé una bandiera rossa. Mentre i gruppi di hacker come anonymous possono essere in grado di cavarsela, gli utenti normali non possono.

Ci sono stati commenti su altre risposte che dicevano (approssimativamente) "usa HTTPS, va bene". Non posso sottolineare abbastanza fortemente come questo sia un consiglio pericoloso. HTTPS rivela il nome di dominio a cui l'utente accede, lascia traccia sul computer client ed è probabile che gli stati-nazione (incluso l'Iran) possano produrre certificati falsi e intercettare tutto il traffico HTTPS.

Sono d'accordo con te sul fatto che OP non dovrebbe farlo (se deve chiedere a * estranei casuali sul web aperto * un consiglio sulla sicurezza), questa non è una risposta.Non ha chiesto informazioni sull'etica o sui pericoli di farlo, ma solo su come avrebbe potuto farlo e su come garantirlo.Quindi devo purtroppo downvote.
@Mindwin - Nel rispondere alle domande è importante comprendere il contesto e considerare il problema di fondo che il richiedente deve affrontare.Sono un po 'sorpreso che tu sia d'accordo con me e lo esprima votando negativamente.Hai intenzione di dirmi che hai votato positivamente altre risposte con cui non sei d'accordo, perché rispondono alla domanda precisa?Tuttavia, grazie per aver lasciato almeno una spiegazione, per quanto bizzarra sia.
@paj28 Tutte le altre risposte che menzionano HTTPS sottolineano specificamente che non impedisce a nessuno di vedere che hai visitato il sito, quindi non danno "consigli pericolosi".
@KevinWells - Le altre risposte non menzionano il lasciare traccia sul client, che è un problema critico.E il problema del certificato falso è [non teorico] (http://www.bbc.co.uk/news/technology-14789763).Sostengo la mia affermazione che stanno dando consigli pericolosi.
La risposta di Topher è l'unica che consiglia di utilizzare HTTPS come parte della soluzione e ha affermato: "[L'uso di HTTPS] non impedisce alle persone esterne di vedere che l'utente ha visitato il sito, ma solo i dati esatti che vengono trasferiti".Questo è sicuramente un disclaimer che l'utilizzo di HTTPS lascia una traccia sul client.Inoltre, sono totalmente d'accordo sul fatto che i certificati falsi siano un enorme potenziale problema, ma non è quello che stavo affrontando
@KevinWells - Grazie per la risposta completa.Non credo che si stia rivolgendo alla traccia del cliente in quel commento.Dice (correttamente) che un ascoltatore di rete può vedere il sito visitato e suggerisce modi per mitigarlo.Ma se hai seguito questa mitigazione e il tuo computer è stato bloccato, i contenuti sarebbero incriminanti, a meno che l'utente non prestasse particolare attenzione (il che contraddice l'ultima frase della domanda).Ci sono anche commenti separati che attaccano l'eccellente risposta di John McNamara e questi consigliano un utilizzo pericoloso di HTTPS.
+1 La cronologia lato client li rivelerà e OP non può fare nulla al riguardo.La sua idea semplicemente non è possibile.
@Mindwin Non sono d'accordo con la tua filosofia nel rispondere.Ciò che viene chiesto non è sempre ciò a cui occorre rispondere.Una famosa categoria di domande che dimostrano questo è le [domande del problema XY] (http://meta.stackexchange.com/a/66378/225764).Inoltre, questa risposta sembra rientrare nell'esempio 8 o 9 di [questa risposta che spiega quali sono le buone risposte] (http://meta.stackexchange.com/a/118694/225764).
Nota che questo presuppone che le due opzioni siano `` Le persone non fanno nulla 'e' Le persone trovano informazioni su un sito con una sicurezza forse imperfetta ''.Può darsi che il compromesso sia in realtà: `` 'Le persone trovano informazioni su altri siti senza alcuna sicurezza' vs 'Le persone trovano informazioni su un sito con una sicurezza forse imperfetta' '.In tal caso la risposta non sarebbe la stessa.
* in Iran, gli omosessuali condannati sono solitamente condannati a morte per impiccagione. * oppure potrebbero dire di essere transessuali e * essere costretti * a subire un'operazione di cambio di sesso ... indovina perché l'Iran è il paese con il secondo più alto tasso di cambio di sessooperazioni dopo la Thailandia ... gli omosessuali devono scegliere tra morte ed evirazione.
@DennisJaheruddin - Questo è un buon punto.Penso che le persone in Iran sappiano già di non accedere a tali contenuti, o di fare estrema attenzione se lo fanno.Quello che mi preoccupa è che se un sito dice "non preoccuparti, ti teniamo al sicuro", questo porterà le persone ad accedere al contenuto senza altre precauzioni e quindi ad essere incriminate.
@Mindwin: "Non puoi" è una risposta valida a "come posso fare ?"
Topher Brink
2016-10-06 20:47:46 UTC
view on stackexchange narkive permalink

Non è una cosa facile da fare. Esistono diversi modi per ottenere qualcosa di simile a quello che desideri.

Innanzitutto, utilizza HTTPS. Ciò impedisce a chiunque di vedere i dati trasferiti diversi dal server e dall'utente (che presumo siano entrambi puliti). Ciò non impedisce alle persone esterne di vedere che l'utente ha visitato il sito, ma solo i dati esatti che vengono trasferiti.

Se ci sono cose nascoste dietro una schermata di accesso, chiunque senza un accesso visita il sito non sarà in grado di vedere di cosa tratta il sito. Questo non è molto positivo in quanto devi fidarti degli utenti che hanno i dettagli di accesso e devi escogitare un modo per reclutare persone fidate per visualizzare il sito.

Un modo migliore è avere contenuti "normali" per nascondere gli altri contenuti e non è possibile stabilire quale tipo di contenuto viene richiesto. Il modo migliore per farlo è che, ogni volta che offri un link, offri un URL che funzionerà solo una volta (o meno sicuro, uno che funzionerà solo in combinazione con un cookie che è unico per quell'utente) questo darà la plausibile negabilità dell'utente di ciò che stavano guardando. Nessuno può dimostrare di non aver visitato il contenuto "normale" poiché chiunque osservi i trasferimenti di dati, visitando le stesse pagine otterrebbe un messaggio di errore o un contenuto "normale" (a seconda di come lo si imposta)

Spero che i suggerimenti di cui sopra siano d'aiuto, il motivo per cui non c'è niente come 'cambiare l'impostazione xxx sul server' è che vuoi che qualsiasi utente sia in grado di visitare il sito, questo deve includere coloro che perseguiteranno anche quelli che visitano.

Offrire molti contenuti "normali" e fornire "token" monouso (URL, cookie, ecc.) Ai contenuti "pericolosi" è quasi l'unico modo per farlo.Per la migliore oscurità / negabilità, una volta utilizzato, un token monouso dovrebbe servire un pezzo * specifico * di contenuto normale (possibilmente selezionato a caso dopo la generazione del token) ... quindi chiunque tenti di replicare la connessione dell'utente vulnerabile lo farà solomai vedere un contenuto normale e tutti i successivi tentativi di utilizzarlo vedranno lo stesso contenuto, quindi si comporta come il token se un utente stesse tentando legittimamente di visualizzare il contenuto normale.
Questo consiglio non è appropriato per i paesi in cui è "molto pericoloso" come la domanda chiede.Ho incluso alcuni dettagli nella mia risposta.Penso che la tua risposta sia scritta bene, quindi non dovremmo eliminarla, ma devi includere un importante disclaimer che non è adatto a paesi "molto pericolosi".Finché non lo fai, è -1 da me.
Anche la plausibile negabilità di non essere in grado di provare il contenuto che è stato servito per un dato URL estratto dalla cronologia di navigazione di un utente o tramite altri mezzi non rimuoverà il fatto che il browser potrebbe conservare copie cache del contenuto pericoloso (che sarebbedevono essere eliminati) o che l'utente possa essere semplicemente colto in flagrante.L'utente finale deve prendere precauzioni, non è qualcosa che può essere affrontato dal solo sito web.
Si noti che [TLS perde le dimensioni della pagina a cui si accede] (https://security.stackexchange.com/a/124982/13154), che può essere utilizzato per quale contenuto si accede.
@pwdst Il tuo commento mi ha ispirato a scrivere [questa risposta] (http://security.stackexchange.com/a/139151/15756).
John McNamara
2016-10-06 21:28:44 UTC
view on stackexchange narkive permalink

I tuoi requisiti come dichiarato sono fisicamente impossibili.

Pensa in questo modo: se stavi inviando una lettera a qualcuno in un altro paese e volevi essere sicuro che un gruppo potente e pericoloso fosse entrambi

  1. ignaro del contenuto della lettera

e

  1. ignaro che il destinatario abbia ricevuto una tua lettera

come faresti?

La sicurezza dalla tua parte potrebbe essere fantastica, ma non importa una volta che la lettera lascia il tuo paese.

Se la lettera viene intercettata in qualsiasi punto dalla tua scrivania alla scrivania del destinatario, il destinatario è a rischio.

Pertanto la sicurezza è responsabilità condivisa di

  • tu (il server web)

  • il tuo sistema postale (il tuo ISP / host web)

  • il sistema postale internazionale (il pubblico internazionale Internet - strisciando con lo spionaggio del governo!)

  • il sistema postale dei destinatari (il loro ISP)

  • il tuo destinatario (il loro PC, browser web, ecc.)

Nei casi in cui wh Se il destinatario ha la formazione e gli strumenti per stabilire connessioni sicure, può essere pratico comunicare in modo sicuro semplicemente assicurando i 2 punti finali.

Questo requisito è che entrambi i punti finali devono partecipare attivamente in un collegamento di comunicazione sicuro è una limitazione tecnica intrinseca di Internet globale, inclusa qualsiasi tecnologia "costruita" su di essa. La rete "predefinita" non ha una sicurezza di anonimato "incorporata" ed è quindi molto facile da spiare da chi ha il controllo dell'infrastruttura fisica.

Esistono modi tecnici migliori per costruire reti globali come F2F meshnets radio, ma esistono ancora solo piccoli esempi limitati.

Potrebbe essere necessario esaminare metodi di distribuzione alternativi e parlare con i propri utenti e altre organizzazioni per vedere cosa pensano sia pratico.

-1 Non è una limitazione intrinseca.È possibile trasferire i dati ai destinatari senza che nessuno sappia né i destinatari né il contenuto.(ad esempio, routing Onion Tor e HTTPS).Con HTTPS si conosce solo il nome del dominio. Questa analogia è completamente sbagliata in questo caso per quanto riguarda HTTPS.
@RamchandraApte Mi riferivo al fatto che entrambe le estremità devono partecipare alla procedura di sicurezza come limitazione (il che è vero per Tor ecc.).Questo è il fulcro della domanda.Risposta aggiornata.
@RamchandraApte La mia comprensione è che non è accettabile per un utente malintenzionato nemmeno conoscere il nome del dominio in quanto potrebbe essere elencato come "illegale" indipendentemente dalla comunicazione avvenuta con quel dominio.
Hai ragione sul fatto che il nome del dominio stesso potrebbe essere rivelatore, tuttavia la comunicazione sicura fa parte di Internet standard e predefinito.HTTPS è integrato in quasi tutti i browser.Infatti, in questo momento tutte le mie 7 schede utilizzano HTTPS.
@RamchandraApte È fantastico, ma https non è affatto utile in questo caso.Anche se il nome non è descrittivo dello scopo del sito e il contenuto trasferito è crittografato, gli attori della minaccia in questo scenario dovrebbero solo visitare il sito per determinare che si tratta di una risorsa per le persone LGBT, il che sarebbe sufficiente per perseguitarle oaltrimenti danneggiare i visitatori del sito.
@RamchandraApte: per impostazione predefinita, nella cronologia dell'utente viene visualizzato un sito HTTPS, che sarebbe visibile agli altri utenti del computer e alle ricerche della polizia.Ci sono soluzioni a questo, ma si basano sul fatto che l'utente finale prenda precauzioni di base.Dovresti revocare il tuo downvote, è infondato.
L'esempio della "lettera" mi ha immediatamente ricordato le trasmissioni steganografiche di dati crittografati.Potrebbe funzionare sul Web per qualcosa di simile a Twitter su Instagram.Non funzionerà per l'OP.
Ho riformulato la situazione e ho elaborato una [soluzione concettuale] (http://security.stackexchange.com/a/139151/15756) che indicherebbe che è possibile.Sono curioso di vedere cosa ne pensi.
grochmal
2016-10-07 08:46:53 UTC
view on stackexchange narkive permalink

Questa è un'aggiunta alla risposta di @ TopherBrink, con la quale sono molto d'accordo. Prima di tutto sì, usa HTTPS e HSTS e hai cose dietro una schermata di accesso. Secondo, dobbiamo vedere un po 'di etica:

Discussione etica

Questo è Internet, tutto il contenuto è lì, se qualcuno lo vuole lo otterrà. Potrebbe essere bloccato dai firewall e qualcuno troverà un perforatore o utilizzerà un proxy / VPN, potrebbe essere filtrato dal DNS e qualcuno creerà un sito Web di IP da utilizzare.

Se il contenuto è pericoloso lì sono rischi giganteschi in diversi paesi: prigione, tortura, pena di morte. Ma contro questi rischi hai praticamente due opzioni:

  1. Non farlo e consenti a qualcun altro di servire il contenuto a queste persone. Ci sarà qualcun altro, questo è Internet.

  2. Fai del tuo meglio per negare la responsabilità . Non considero la negabilità come scarsa sicurezza, ma in realtà non hai opzioni.

E ho visto gli adolescenti essere in grado di utilizzare una VPN basata su tutorial trovati su Internet. Il problema è che, sebbene la loro configurazione funzionasse, perdeva una buona quantità di informazioni. In generale, se non offri il contenuto a qualcun altro, anche se il contenuto necessita di proxy / VPN per accedervi.

La causa etica è più complessa del non servirlo e del non essere indirettamente responsabile della morte di qualcuno. Se rinunci a servire il contenuto, sei comunque responsabile della morte di qualcuno se è stato sorpreso ad accedere a contenuti da un luogo che era peggio protetto di quello che potresti fare.

Sfuggire alla responsabilità non è un punto etico. Pertanto difenderò l'opzione meno popolare e sosterrò di farlo . Ma fai del tuo meglio per negare la responsabilità.

Nota etica finale

Ricorda sempre che alcuni utenti sono semplicemente stupidi e quindi non c'è modo di proteggerli. Se non puoi affrontare il fatto che prima o poi dovrai sacrificarne uno per il bene di molti, allora non farlo . Ma non farlo per questo motivo. Non solo perché è pericoloso.

Proposta di negazione (cioè un modo per farlo)

Il problema più grande è che devi trovare un modo per fornire accessi a utenti affidabili utenti e non darli a quelli non fidati. Un modo per aggirare il problema è avere due siti web, diciamo: safewebsite.com e secretwebsite.com.

(Entrambi i domini in esecuzione solo su HTTPS e implementazione di HSTS)

safewbsite.com conterrà contenuto sicuro, sarà accessibile senza un accesso per impostazione predefinita ma gli utenti potranno registrarsi.

secretwebsite.com restituirà sempre la stessa pagina "sicura" per chiunque. L'unico modo per ottenere il resto del contenuto è essere autorizzato, ovvero essere un utente registrato di secretwebsite.com . Ora, non c'è modo di registrarsi su secretwebsite.com (restituisce solo una singola pagina). L'unico modo per secretwebsite.com di darti il ​​token corretto (diciamo un cookie per semplicità) è inviare un GET all'URL corretto. Pronuncia https://secretwebsite.com/logon/6733abf78..77bab99 (o codificato base64, qualunque cosa). Quell'URL è il tuo token di sessione.

(l'utilizzo di GET per l'autenticazione è cattivo , ma poiché siamo su HTTPS e l'URL è un token corretto, difficile da indovinare, è accettabile ).

Il token deve essere difficile da usare con la forza bruta. E l'unico modo per ottenere un token corretto (un collegamento corretto a secretwebsite.com ) è da safewebsite.com.

Ora puoi scegliere (letteralmente cherrypick) utenti di safewebsite.com che possono accedere a secretwebsite.com .

Il merito di questo approccio è che crei un'area triage (il sito web sicuro) da cui puoi scegliere gli utenti che saranno sufficientemente responsabili per accedere al sito web segreto. Se costruisci correttamente il meccanismo di sessione, puoi dare e prendere la possibilità di accedere al sito web segreto dai tuoi utenti.

Il problema è che questo funzionerà solo per un piccolo numero di utenti ed è suscettibile di ingegneria sociale contro di te. Fare e algoritmo per valutare la veridicità di un utente non è cosa da poco (se possibile), quindi non c'è modo di automatizzare la selezione dell'utente. Un altro problema è che devi impedire a safewebsite.com di diventare un terreno di discussione su come accedere a sectretwebsite.com , da allora perdi completamente il controllo su chi è affidabile e chi non lo è.

Riepilogo sulla sicurezza

Aspetti positivi:

  • secretwebsite.com non esiste, ok? No, non è così, è sempre "in costruzione". Il fatto che qualcuno abbia visto qualcosa è una creazione della sua mente.
  • Puoi eliminare gli accessi di utenti problematici. O meglio, devi eliminarli. Se un utente parla apertamente di secretwebsite.com su safewebsite.com sta facendo più male che bene a entrambi i siti web.
  • Doni responsabilità a te stesso e i tuoi utenti. Per renderlo un po 'più plausibile puoi randomizzare la dimensione della pagina (falsa) inviata da secretwebsite.com (quindi sostenere che qualcuno ottiene una pagina di dimensioni diverse non è fattibile).
  • C'è anche un punto di confusione. Poiché nessuno sa come accedere effettivamente a secretwebsite.com (l'URL appare a determinati utenti e non ad altri in base al tuo capriccio, che non può essere quantizzato), puoi chiudere secretwebsite. com temporaneamente in tempi pericolosi.

Aspetti negativi:

  • La negabilità non funziona contro un aggressore che vuole farti qualcosa solo perché ha bisogno di fare qualcosa a qualcuno (vale a dire, ha bisogno di un capro espiatorio ). La negabilità non impedirà mai a nessuno di essere un capro espiatorio, ma nemmeno qualsiasi altra misura di sicurezza se l'aggressore ha potere fisico e giudiziario su di te.
  • Dovrai affrontare le leggende metropolitane su secretwebsite.com . È importante che tu non permetta loro di vagare liberamente su safewebsite.com , altrimenti avrai una correlazione visibile.
  • La negabilità funziona perché nella società moderna sospetto non è mai uguale a proof (cioè suspicion! = proof ). Nel momento in cui un aggressore può fare affidamento sul suo sospetto per condannare qualcuno, può farlo a suo piacimento. Il lato positivo è che un tale aggressore può essere sospettoso nei confronti di chiunque, e passare attraverso i loop del sito Web è molto faticoso rispetto a catturare qualcuno a caso per strada.
  • È molto lavoro. Se la comunità dei tuoi utenti cresce, avrai bisogno di una moderazione molto etica, difficile da trovare.

Note extra:

  • È pericoloso? Sì, le persone potrebbero essere scoperte. Ma sarebbero comunque capri espiatori. Un regime autoritario ha bisogno di capri espiatori, devi assicurarti che i tuoi utenti siano più difficili da trasformare in capri espiatori di altri.
  • Hai detto molto, ma un sito web del genere funzionerebbe nel mondo reale? , funziona. C'era una volta che ho contribuito a creare uno di questi siti web. Sono passati 5 anni e il sito web è ancora vivo. Sia il lato sicuro che quello segreto.
  • Puoi dirci qual è il sito web? No , leggi sopra per i motivi.
-1 poiché questo è semplicemente chiedere problemi.Solo 1 utente deve far trapelare un URL con la descrizione (di proposito o per sbaglio) e tutti gli utenti che vi hanno mai avuto accesso vengono incriminati.
@paj28 - Non esattamente quello che volevi, ma è così.Ho aggiunto una discussione etica invece di un disclaimer.Non fare nulla solo perché è pericoloso non rende le cose più sicure.
@DennisJaheruddin - Aggiunta discussione etica completa.Ma anche, non è così che funziona.Questo è un caso di fumo e specchi nel mondo reale, funziona in pratica perché i regimi autoritari si preoccupano della quantità di capri espiatori.Non puoi giustiziare un milione di persone, ma devi sempre eseguirne 3 o 4, non importa cosa hanno fatto.Espellere l'utente 1 e lasciare la morte di uno per proteggere i molti.No, non sto facendo l'etica del PC, ma l'etica e il PC sono due cose diverse.
@DennisJaheruddin - Ma cosa controllerà l'autorità?Tutti sanno che secretwebsite.com * potrebbe essere * (e probabilmente lo è) illegale, ma dov'è la prova?Sappiamo di molte cose che sono illegali, ma non c'è modo di dimostrarlo.Se i nostri governi (quelli non autoritari) distruggessero qualcosa che un governo autoritario * sospetta * di essere illegale, saremmo davvero nei guai.
Se un utente fidato può vedere il contenuto di secretsite (che è presumibilmente esattamente ciò che il richiedente vorrebbe), con questa configurazione avrebbe bisogno solo di 1 collaboratore per dimostrare quale contenuto è presente.
@DennisJaheruddin - Sei uno script che ripete lo stesso argomento più e più volte?Sì, può scaricare il sito web.Ma non può provare che sia il sito web.Un sistema giudiziario non funziona in pochi secondi, ma piuttosto in mesi.Se questo diventa un procedimento giudiziario, estrai la prova da quell'utente e la prova che non può essere replicata non è una prova (o si può dire che sia stata rimossa).Se non c'è un procedimento giudiziario, la negazione non funziona comunque.
MvG
2016-10-08 01:11:00 UTC
view on stackexchange narkive permalink

Sono per lo più d'accordo con ciò che ha scritto Topher Brink. Solo alcuni punti in più.

Probabilmente non è sufficiente avere solo contenuti sicuri, devi anche avere un traffico considerevole per accedere a tali contenuti. Hit dei motori di ricerca, simili. In caso contrario, qualsiasi visita al tuo sito potrebbe essere associata ai contenuti sensibili anche se sono presenti altri contenuti in giro.

Se i certificati falsi possono essere un problema nel paese in questione, potresti chiedere alle persone di verificare i checksum dei certificati . Ma dal momento che il modo più plausibile per introdurre certificati falsi sarebbe l'installazione di browser manomessi, non mi fiderei nemmeno di quei checksum. Quindi non utilizzare questo targeting per paesi in cui non puoi aspettarti che gli utenti abbiano browser puliti. Lo stesso vale per i keylogger autorizzati dallo stato e simili. La privacy fornita dalla tecnologia termina sulla loro macchina e se quella macchina non è privata, la connessione non può esserlo.

Ricorda che i link monouso dovrebbero essere generati dal sito e dovrebbero essere disponibile per ogni visitatore. Forse nascosto otticamente come un collegamento nero su qualche punto insignificante alla fine di una frase, con il cursore del mouse mantenuto come quello utilizzato per la selezione del testo. Ma le persone non dovrebbero mai scrivere questi collegamenti, usarli per visite successive o per darli ad amici. Dovrebbero essere in grado di dire ai loro amici "basta fare clic lì e vedrai le cose che devi vedere" senza trasmettere alcun URL incriminante. E dovrebbero sempre e solo dirlo verbalmente, faccia a faccia, non nelle comunicazioni elettroniche poiché il fatto che tu sappia come entrare è di per sé incriminante.

Dovresti assicurarti che le pagine sicure e sensibili siano il più simili possibile, rispetto alle tracce che potrebbero lasciare su una macchina. Stesso titolo HTML, stessa favicon, stessi cookie. Preferibilmente anche gli stessi file di immagine. Se ciò non è possibile, dovrai dire ai tuoi utenti di svuotare la cache dopo la visita e spiegare loro come farlo. È meglio anche spiegare loro come utilizzare la funzionalità di navigazione anonima dei browser più comuni. Almeno dopo aver verificato che questi non lasciano tracce rilevabili di utilizzo, cosa che si potrebbe sperare ma non ne sono certo.

E dovresti includere tutte le linee guida rilevanti per il comportamento degli utenti (pulire la cache, guarda chi sta guardando, assicurati che il tuo computer sia senza compromessi, nessuna istruzione scritta ad altri, non accettare mai certificati non sicuri, trasmettere queste istruzioni ad altri, ...) vengono mostrati ai visitatori in modo ben visibile e frequente. Ma alla fine puoi solo sperare che seguano questa guida, non puoi controllare questi aspetti da remoto.

Mi piace questa risposta, sfortunatamente se l'utente svuota la cache significherebbe che la sicurezza non è realmente nelle mani capaci in tutti i casi, quindi non è ancora "completa".
@Dennis: Sì, non puoi avere garanzie complete senza il controllo sull'hardware del visitatore né la collaborazione dei visitatori.Ma svuotare una cache * dopo * aver letto le istruzioni su questo è probabilmente molto meno problematico che impostare qualcosa come tor * prima * anche solo di guardare i siti che potrebbero descrivere come farlo correttamente.
Dennis Jaheruddin
2016-10-08 15:50:26 UTC
view on stackexchange narkive permalink

Risposta concettuale

Senza descrivere il "come" in dettaglio, credo che questa descrizione di "cosa" dovresti fare possa aiutare a sviluppare qualcosa che funzioni nel miglior modo possibile.

Situazione

Sembra che ci siano alcuni passaggi chiave nel processo dal punto di vista degli utenti.

  1. Connettiti al server
  2. Sfoglia contenuto sul server
  3. Lascia il server

Sfida

Non dovrebbe essere possibile dimostrare di aver visualizzato qualcosa relativo all'argomento X. Il loro Internet potrebbe essere monitorato in modo permanente e il loro computer potrebbe essere confiscato dopo che hanno finito.

Soluzione

Credo che con queste parti della soluzione insieme, avrai una situazione ragionevole.

  1. Assicurati che non sia possibile dimostrare che ci si connette a contenuti sull'argomento X. Sembra che il modo più pratico per farlo sarebbe quello di avere qualcuno che si connette a un sito generico , che contiene anche l'argomento X. Qualcosa da considerare qui, è che anche se i governi non può tecnicamente dimostrare che le persone si sono collegate al tuo sito per visualizzare l'argomento X, questo può comunque essere dedotto se il tuo sito viene conosciuto solo per questo e non per il suo contenuto normale.
  2. Assicurati che una volta connesso , non è possibile dimostrare che l'argomento X sia stato visitato. Ovviamente la connessione dovrebbe essere crittografata (https ?!) e il sito non dovrebbe conservare log che potrebbero incriminare le persone, il sito dovrebbe anche essere sicuramente ospitato in un paese sicuro .
  3. Assicurati che non vengano lasciate tracce dal lato client. Questo non è stato molto toccato dalle altre risposte, ma è fondamentale se il PC del visitatore può essere ispezionato il giorno successivo. A meno che non sbaglio, questo squalifica automaticamente la disponibilità del contenuto in un normale browser. Forse non è necessario, ma una soluzione potrebbe essere che i visitatori del sito (non solo quelli che visitano l'argomento X) non visualizzino il contenuto normalmente, ma tramite un client dedicato. Questo client dovrebbe essere progettato in modo tale da non conservare la cronologia, la cache, i video scaricati e così via.

Vale il rischio?

Come accennato in precedenza, offrire questo tipo di contenuti a persone che potrebbero andare in prigione se vengono scoperte non è una decisione da prendere alla leggera. Il mio consiglio qui sarebbe di farlo solo se ti aspetti che trovino comunque contenuti simili (in un modo meno sicuro).

Per il punto 3, il client dedicato potrebbe essere costruito interamente su javascript, quindi dal punto di vista dell'utente stanno usando solo un normale browser in una normale scheda.Gli sviluppatori di applicazioni a pagina singola dovevano aggiungere manualmente la cronologia e il supporto per i collegamenti diretti, quindi in questo caso il sito poteva semplicemente saltarli.Se ogni risorsa viene recuperata, decodificata e visualizzata in modo doloroso tramite le chiamate API del client JavaScript invece del download di risorse standard, non ci sarebbe alcun file di contenuto da memorizzare nella cache.Però ...
Il sito risultante sarà lento (nessuna memorizzazione nella cache, chiamate inefficienti), fastidioso da usare con l'implementazione del punto 2 (senza log, devi arrancare indietro a quello che hai letto ieri), quindi è difficile superare il punto 1, perché qualcuno dovrebbe usarloquesto sito per contenuti normali con la sua bassa velocità e inconvenienti?Il [cambio di marchio] di Tor (https://medium.com/@virgilgr/tors-branding-pivot-is-going-to-get-someone-killed-6ee45313b559#.gbylej6h1) è stato criticato per questo punto.Quindi suppongo che tu debba vendere il sito come informatore di corruzione (o qualsiasi altra causa preferita dal governo) con contenuti aggiuntivi
Esistono ancora metodi per vedere quale contenuto è stato visualizzato da qualcuno.Ogni sito / articolo / video avrà una dimensione diversa e l'analisi delle informazioni di fuga di trasmissione crittografata su questo, ad esempio.
@Josef Probabilmente le informazioni trapelate possono essere analizzate statisticamente, ma data la domanda (alcuni video) e supponendo che questi video non abbiano dimensioni insolite, non mi aspetterei che da ciò derivasse nulla di statisticamente significativo (a meno che qualcuno non visitasse il sito per molto tempotempo su base regolare)
@DennisJaheruddin Penso che la probabilità che un sito web di esca differisca statisticamente significativo dal sito web reale non è così bassa.Per esempio.presumete che per ogni video prodotto per il sito reale ci sia un video esca con le stesse caratteristiche (come il bitrate nel tempo) prodotto come esca?Il bitrate nel tempo non è così difficile da analizzare da un flusso di bit crittografato quando si utilizzano lettori video HTML comuni nei browser ... E questo è solo un esempio.
Il punto è che se qualcuno si collegasse a un sito Web generico (diciamo YouTube che non collabora con il governo) su https, allora sono sicuro che le autorità potrebbero dire che qualcuno ha guardato un video a bassa risoluzione di 5 minuti, e poi un video di 4 minutihd vid, ma questo è appena sufficiente per dedurre quali video esattamente dove sono stati guardati.(e se questi erano nella sezione illegale).
Singularity.
2018-09-10 18:05:50 UTC
view on stackexchange narkive permalink

Non possiamo. Il cliente deve partecipare. Non possiamo utilizzare una coppia sicura / segreta di siti web se la base di utenti cresce. Un singolo collegamento trapelato può essere utilizzato per provare i contenuti del sito web segreto, semplicemente per come funziona HTTPS. Il contenuto fornito dal tuo sito web è firmato dal tuo sito web, con un certificato accessibile pubblicamente. (Altrimenti non possiamo sapere che stiamo ottenendo il sito web giusto, vedi.) Se qualcuno può dimostrare che il certificato è tuo e ha una copia della firma che hai inviato al browser (che può ottenere semplicemente facendo clic su un pochi menu in Firefox, a proposito) possono provare che il contenuto che dicono che hai servito è autentico.

Vale anche la pena notare che non possiamo semplicemente evitare la firma sul sito web contenuto, per non perdere anche l'integrità del nostro contenuto.

Quindi nessuna negazione, se qualcuno trapela. (Questo è in riferimento alla risposta di grochmal.)

Tor è la nostra migliore risposta, ma è incompleta. Non c'è una buona risposta alla domanda che stai facendo. Tuttavia, Tor bridge / trasporti collegabili potrebbero essere utili.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...