בתשובה לג'וד, 06/10/11 16:30
בטוח ויקי 583746
אנחנו יודעים ליצור חיבור מוצפן מעל תווך לא מוצפן. יש כבר פרוטוקולים טובים לשם כך. מרגע שנוצר החיבור, קשה להאזין לתוכנו. אם מישהו ירצה לצותת לחיבור שלך לוויקיפדיה ולראות איזה ערך בדיוק קראת משם, הוא יצטרך לעבוד קשה מאוד ויש סיכוי טוב מאוד שהוא ייתפס. הוא עדיין יכול לראות לאיזה שרת את מחוברת‏1. אבל על השרת ההוא יש הרבה דברים שונים ולכן אותו צופה ידע עלייך הרבה פחות מאשר מהאזנה לתוכן החיבור‏2.

אחת האסטרטגיות להצליח להתגבר על חיבור מוצפן כזה הוא להיכנס באמצע לפני שהוא נוצר. זוהי התקפת MITM (Man in the Middle) שהזכרתי למעלה: המאזין נכנס באמצע עוד לפני שנוצר החיבור המוצפן ומכיר את פרטיו. הפתרון המקובל הוא לוודא מראש שמדברים עם השרת האמתי ולא עם מתחזה.

ובאופן כללי: אני רוצה לסמוך על הצנרת של האינטרנט ולדעת שלא מקשיבים לי. אז נכון, מה כבר אפשר להשיג מהקשבה להתחברות לוויקיפדיה? מצד שני: אפשר להשיג קצת מידע. ואני גם לא מבקש הרבה. רק להוסיף תו אחד.

1 אלא אם כן את משתמשת בTor [ויקיפדיה] או משהו דומה. לזה כבר יש מחיר רציני מבחינת ביצועים ובאופן כללי זה מסבך את החיים.

2 הוא גם יוכל לדעת מה הגודל של החיבורים השונים, ועוד. אבל שוב: הוא לא יוכל לדעת אפילו מהם שמות הקבצים.
בטוח ויקי 583751
לא האות הנוספת מעיקה עלי אלא החישובים הנוספים. לא חשוב כמה רוחב הפס עולה, כמה כוח החישוב עולה וכמה שטח הזכרון עולה, בסוף הביצועים נשארים אותו דבר, והם לא השתנו מאז ה-PC/XT הראשון שלי (קצת הואטו). זה חוק שימור מהירות הביצועים.
אבל בסדר, אם זו הרוח הנושבת ברשת אז שיהיה.

שאלה:
איך TOR עובד?
בטוח ויקי 583752
בשנה האחרונה היו כמה וכמה מקרים שבהם ההתקפות הפכו בצורה מאוד מוחשית מתאורטית למעשיות. המפורסמת שבהם היא, ככל הנראה Firesheep [Wikipedia].

יש כמה וכמה אתרים שבהם את יכולה לבחור אם להתחבר בחיבור מוצפן או לא מוצפן. למיטב זכרוני השלמה חכמה של תיבות חיפוש (השלמה מצד האתר, לא השלמה אוטומטית של תוכן שדה הטופס כמו שיש בפיירפוקס) נעשית ע"י חיבור נפרד לשרת לאחר הקלדה של כל אות. כלומר יש כאן יצירת חיבור והמתנה לתוצאתו בזמן ההקלדה. נסי (עם המחשב הכי חלש שיש לך) לראות אם יש הבדל בין ההשלמה הזו בהתחברות מוצפנת לבין ההשלמה הזו בהתחברות לא מוצפנת.

Tor הם ראשי תיבות של The Onion Router - נתב הבצל. אם את שולחת את הבקשה שלך דרך רשת טור, היא תנותב דרך המון מחשבים שנמצאים ברשת טור ובסוף השרת שעונה לבקשה לא יוכל לדעת שהיא מגיעה ממך. תהיה רשומה לו כתובת IP כלשהי, אבל זו תהיה כתובת IP של נקודת יציאה של Tor. גם נקודת היציאה הזו לא תוכל לקשר את החבילה הזו בקלות אלייך. המחיר הוא שכל הקפיצות הנספות מכניסות עיכובים רבים והופכות את איכות הקו לנמוכה יותר.
בטוח ויקי 583757
אני כותבת עכשיו דרך TOR, הקצב הוא איטי מאד, אבל טוב שיהיה בבית!
בטוח ויקי 583758
האות הנוספת לא מעיקה עלייך, אבל עלולה להעיק מאוד על סטודנט סיני או איראני שמתאר בוויקיפדיה משהו שאינו לרוח המשטר.
בטוח ויקי 583809
לגבי הסטודנטית הסינית: אולי בעצם עדיף לה להשתמש בפרוטוקול "חשוף" כמו הטטפ ולא בפרוטוקול "מוגן" כמו הטטפס, אם‏1 במסתרים יש לממשלה הסינית כלים לפענח את ההודעות על תוכנן, כרען וקירבהן, והסטודנטית סובלת מתחושת ביטחון מזויפת שהפרוטוקול שנחשב לבטוח מעניק לה.

לפחות בפרוטוקול החשוף היא תיזהר, וגם לא תסמן את עצמה כמישהו שיש לו מה להסתיר.

____________
1 זה כמובן "אם" גדול, אבל ההיסטוריה מלמדת שבהסתברות גבוהה השאלה היא לא "אם" אלא "מתי"
בטוח ויקי 583813
אני מניח שאא לא סתם הזכיר את איראן. כזכור, לפני כחודש התברר שפורצים הצליחו לחדור למחשבי חברת Diginotar [Wikipedia] וליצור לעצמם אישורים בשם החברה. החברה שמה לב לכך ב-‏10 ביולי, אולם לא דיווחה לאף אחד. ב-‏28 לאוגוסט גולש מאיראן שם לב (בעזרת מערכת חדשה יחסית שנוספה לדפדפן כרום) שהאישור שהאתר של גוגל נותן לו אינו שאישור שרוב האנשים מקבלים. הוא התלונן על כך, ואמנם התברר שהמשטר האיראני (אשר מפקח ממילא על כל החיבורים לאינטרנט מאיראן) השתמש באותם אישורים מזויפים מדיג'ינוטאר כדי להתחזות לגוגל (ומגוון שרותים אחרים).

מצד שני, היה כאן רשם אישורים שהתנהג בצורה חסרת אחריות לחלוטין: מילא פריצה. זה יכול לקרות. אבל הסתבר שהם לא ידעו אפילו אלו אישורים הונפקו. והכי חשוב: הם לא טרחו להתריע על כך. ואמנם, זמן קצר לאחר גילוי העניין הם סולקו בבושת פנים מרשימת הרשמים האמינים של כל ספקי הדפדפנים, ופשטו את הרגל.

אא הזכיר גם את הסינים. הסינים החליטו להשתמש באסטרטגיה אחרת: להכניס גורם מאשר שלהם בצורה רשמית. מכיוון שהם עדיין ברשימת האישורים של מוזילה, מן הסתם או שהם לא מנפיקים אישורים פגומים בדומה לאיראנים, או שהם זהירים והצליחו לא להיתפס. אבל מצד שני, לא לקח הרבה זמן לאתר את ההתחזות האיראנית.

כאמור, יש לא מעט אנשים שלא מרוצים במיוחד מהשיטה של SSL והאישורים שלה. אבל באופן כללי מסכימים על כך שזה יותר טוב מכלום.

חזרה לעמוד הראשי המאמר המלא

מערכת האייל הקורא אינה אחראית לתוכן תגובות שנכתבו בידי קוראים