Equ#156
"egy kérdés úgye te sem titkosítatlan kapcsolaton szoktad megadni a bankkártyaszámodat "
nem, ellenben kismillió netes szolgáltatáson lépek be titkosítatlanul, mert a site nem támogatja az ssl-t, a szolgáltatóm ftp-je szintén nem támogat csak clear text-es authentikációt stb-stb...
Ezt kiegészítve azzal a ténnyel, hogy a userek 90%-a gyakorlatilag egyetlen jelszót használ az ég világon mindenhol, talán a laikusok is fel tudják mérni, hogy ez mekkora veszély.
"és mi annak az esélye, hogy minden egyes cella a te szuperhackelt ToR-odon fog keresztülmenni"
egyrészt semmi szükségem a teljes tor hálózat forgalmára, mivel így is egy óra alatt majd 40 session-t tudtam elkapni (jópár név/jelszó párossal) egyetlen géppel, csak a teszt kedvéért,
másrészt a hálózat tulajdonsága - és a userek félelme miatt - alig van dedikált exit node, igy azzá alakítva a gépedet egyszerűen vonzod mások forgalmát)
"és, hogy ezután össze is tudod rakni a forgalmat."
Nem figyelsz, irtam már... Szintén a protokoll gyenge pontja, hogy csak percenként vált route-ot, igy minden egyes usernek folyamatos 1 perces teljes hálózati forgalmát rögzítem, amiből tizedmásodpercek kellenének csak a jelszavak ellopásához...
Ráadásul az exit node-os forgalom vonzás miatt, még ha route-ot is vált a feladó, akkor is jó esélyem van, hogy a végpont újra én leszek...
Ezt egy óra alatt, többször tapasztaltam, a sütik vizsgálatával!
Szóval a kisujjamat se kell megmozdítsam, hogy összerakjam a forgalmát a usernek, mert a protokoll eleve garantálja, hogy egyben megkapom 1 egész percig, ráadásul mégcsak össze se keveredik más userek forgalmával a tor azt is szépen szétbontja nekem, hogy melyik tartozik egybe...
"Az általad vázolt szindroma kb olyan mintha a célszervelig vezető útvonalon egy szervert feltörnének, és sniffelnék az egészet (vagy tévedek)"
Ha szerver helyett routert mondanál, akkor még korrekt is lenne szakmailag.
Egy komoly bibi van csak: Az én gépem egy "átlaguser" gépe ami egy adsl végpontban ül, egy "átlaguser" által felügyelve és konfigurálva, ami egy "picit" más kategória, mint egy adatcsere központban, szakemberek által konfigurált céleszköz. (router)
"Egy anonymizer rendszernek miért kell biztonságosabbnak lennie az internetnél???"
Nem szükséges. Csak ne kövessen el akkor amatőr baklövést, hogy a userek teljes clear text forgalmát könnyedén (open source...) más userek kezébe adja.
Bár már ezt is leírtam többször is korábban, mégegyszer leírom, irdatlan nagy különbség van, hogy egy adsl végponton ülő átlaguser kap lehetőséget más userek forgalmának elkapására a tor hibás tervezése miatt, vagy pedig adatcsere központokban ülő szakembereknek van erre lehetősége...
Szóval ne tegye egy fikarcnyival se biztonságosabbá az internetet, csak ne csináljon belőle amatőrök számára is password harvest paradicsomot...
Ennél érthettőben nem tudom leírni, aki nem érti, az nem érti...
De vicces ahogy eltűnt a sok hőzőngő, meg FUD-ot fröcsögő "szakember"...